Будьте начеку если вы программист, использующий GitHub – возможно, кто-то пытается заразить ваш компьютер.

Появились сообщения о том, что злоумышленники пытаются заразить компьютеры программистов, разрабатывающих открытое ПО, трояном. Это делается с помощью вредоносной кампании, распространяемой по электронной почте и нацеленной на разработчиков GitHub.

Впервые атака была замечена в январе. Обычно она появляется в виде лестного электронного письма с предложением о работе в сфере программирования:

 

«Привет. Нашёл твоё ПО онлайн. Можешь написать код для моего проекта? Техническое задание прикреплено ниже.
Стоимость обсудим, если ты сможешь сделать задание. Ответь, пожалуйста».

 

А новые примеры сообщений показывают, что хакеры сменили подход и стали более вежливыми:

 

«Здравствуйте,

Меня зовут Адам Бухбиндер. Я просмотрел Ваш GitHub репозиторий, и должен сказать, я весьма впечатлён. Дело в том, что в моей компании открыта вакансия, а Вы, похоже, подходящая кандидатура.

Пожалуйста, ознакомьтесь с приложением к письму. В нём Вы найдёте подробную информацию о компании и о вакансии. Не стесняйтесь обращаться ко мне напрямую по электронной почте, указанной в прикреплённом файле.

Благодарю!

С уважением,
Адам».

 

Ну а голодным программистам, стремящимся обеспечить себе постоянный запас пиццы и колы и польщённым похвалой, предложение может показаться слишком заманчивым, и они кликнут инфицированный файл в надежде что предлагаемая работа действительно существует.

Прикреплённый к письму файл заархивирован и содержит заражённый документ Word, предназначенный для установки дополнительных вредоносных программ на компьютер жертвы.

Вредоносная программа Dimnie, названная так исследователями из Пало Альто, обнаруживается антивирусами ESET как VBA/TrojanDownloader.Agent.CLB.

В случае успешного заражения, троян может следить за активностью ПК – записывать нажатия клавиш, делать скриншоты и осуществлять кражу информации. Кто-то неизвестный теперь следит за деятельностью программиста, разрабатывающего ПО, и, возможно, крадёт его пароли, вмешивается в открытый исходный код, публикуемый в Интернете.

Что делает эту последнюю версию трояна Dimnie Trojan более сложной, так это изощрённые методы маскировки поведения в попытке избежать обнаружения его вредоносных действий антивирусами, которые могут быть установлены на компьютере.

В качестве финального аккорда, троян способен к саморазрушению, уничтожая все улики своего пребывания на ПК разработчика.

Появляется всё больше предположений о мотивах людей, стоящих за вирусом, нацеленным на разработчиков, использующих GitHub, но весьма вероятно, что идейные вдохновители этой кампании преследуют определённые цели: сбор информации и, возможно, кража данных, которые помогли бы получить доступ к другим предприятиям, сотрудничающим с разработчиками. Кроме того, нельзя исключать то, что злоумышленники заинтересованы в тайном внедрении уязвимости в код прикинувшись отличным и надёжным программистом.

Эти целенаправленные атаки служат хорошим напоминанием для всех пользователей ПК, как бы технически подкованы они ни были, о том, что всегда нужно думать дважды, прежде чем кликнуть непрошенное вложение.

Источник: WeLiveSecurity