Мошенники прячут инсталлятор майнера на Github

 
 

Аналитики компании Avast Software сообщают о новом способе скрытого распространения майнеров криптовалют. Они обнаружили вредоносный инсталлятор, спрятанный в форках случайных IT-проектов на Github. Очевидно, что эти копии изначально создавались для мошеннических целей.
Обнаруженная зловредная программа распространяется исключительно посредством мошеннической рекламы. В основном она размещается на сайтах для взрослых или ресурсах, посвященных компьютерным играм. Помимо баннеров, привязанных к серверу с редиректором на Github, исследователи обнаружили портал, предлагающий тот же вредонос под видом эротической игры.

Показать связанные сообщения

Авторы GandCrab используют гибкий подход к разработке
20 марта 2018 , 16:26
Взломщики прячут майнер за ликом Скарлетт Йоханссон
19 марта 2018 , 19:11
Зловред RottenSys заразил 5 миллионов мобильных устройств
16 марта 2018 , 17:57
Для заражения ничего не нужно загружать непосредственно c сервиса для разработчиков, достаточно лишь нажать на рекламный баннер, который в ответ предлагает обновить якобы устаревший Adobe Flash Player. Если пользователь соглашается на апдейт, на компьютер начинает закачиваться замаскированное вредоносное ПО.
Примечательно, что, кроме криптомайнера, на устройство загружается вредоносное расширение Chrome. Для его активации принудительно завершаются все процессы браузера, чтобы жертва его перезапустила. Также по неизвестной причине вредонос завершает работу Opera и Amigo Free Browser. После перезагрузки Chrome вредоносное расширение начинает в фоновом режиме внедрять рекламу в результаты поисковой выдачи Google и Yahoo, а также накручивать клики на рекламных страницах, принося мошенникам дополнительную прибыль.
Однако основной полезной нагрузкой является майнер Monero, который также размещен на портале Github. Отметим, что эта валюта из-за высокой степени анонимности уже заработала репутацию «любимицы киберпреступников«. Для добычи Monero уже использовались и серверы Tesla Motors, и мощности смартфонов.
Используемый в данной кампании майнер снабжен цифровой подписью и рассчитан на то, чтобы воровство процессорных мощностей долгое время никто не замечал. Преступники умышленно загружают оборудование жертв не более чем наполовину.
Как отмечает Михал Салат (Michal Salát), директор Avast по исследованиям киберугроз, пользователи интересуются загрузкой компьютера, только когда он начинает медленно работать. Поэтому деятельность зловреда может долгое время оставаться незамеченной. Кроме того, программа уступает CPU другим процессам на устройстве и выключается при открытом диспетчере задач.
Руководство сервиса Github совместно с Avast уже инициировало масштабную работу по удалению зараженных копий проектов. Настойчивость злоумышленников удивительна: несмотря на многократные чистки сервиса от вредоносного ПО, те продолжают загружать его обратно. Эксперты признают, что использование GitHub для размещения вредоносного кода — необычный ход, однако имеющий свои преимущества: зловред хранится бесплатно на надежном ресурсе с неограниченной пропускной способностью.
Сколько заработали преступники на этой кампании — неизвестно. Исследователи попытались проверить кошелек, на который поступают добытые за счет чужих мощностей монеты, однако система Monero отказала им в доступе.

Добавить комментарий