Маскирующийся под специалиста по безопасности злоумышленник распространяет зловред под видом эксплойта на GitHub

Исследователи кибербезопасности обнаружили несколько учетных записей на GitHub и платформах социальных сетей, администраторы которых утверждают, что распространяют экспериментальные эксплойты (PoC) для ряда уязвимостей нулевого дня, обнаруженных в популярном программном обеспечении.

Маскирующийся под специалиста по безопасности злоумышленник распространяет зловред под видом эксплойта на GitHub. Фото: СС0

Однако более глубокая проверка показала, что все учетные записи были поддельными, а PoC—скрытым вредоносным ПО.

Новость была озвучена исследователями кибербезопасности из VulnCheck, которые заявили, что неназванные злоумышленники создали сеть учетных записей как на GitHub, так и в Twitter. Они маскировались под аккаунты исследователей кибербезопасности. В этих учетных записях использовались фотографии профилей, принадлежащие настоящим экспертам по безопасности.

Фальшивые эксперты делились экспериментальными эксплойтами для предполагаемых уязвимостей нулевого дня, обнаруженных в популярном программном обеспечении, таком как Signal, Discord, Google Chrome или Microsoft Exchange Server.

Из сообщения VulnCheck:

«Люди, создающие эти репозитории, приложили значительные усилия, чтобы заставить их выглядеть законными, создав сеть учетных записей и профилей в Twitter, притворившись частью несуществующей компании под названием High Sierra Cyber Security».

Вместо эксплойтов злоумышленники распространяли скрипт Python, который загружал вредоносный двоичный файл и выполнял его на целевой конечной точке. Сообщается, что вредоносное ПО работало как на Windows, так и на Linux.

На момент публикации все вредоносные репозитории GitHub были удалены, но исследователи приводят их список:

github.com/AKuzmanHSCS/Microsoft-Exchange-RCE;
github.com/BAdithyaHSCS/Exchange-0-Day;
github.com/DLandonHSCS/Discord-RCE;
github.com/GSandersonHSCS/discord-0-day-fix;
github.com/MHadzicHSCS/Chrome-0-day;
github.com/RShahHSCS/Discord-0-Day-exploit;
github.com/SsankkarHSCS/Chromium-0-Day.

Учетные записи Twitter, которые до сих пор активны:

twitter.com/AKuzmanHSCS;
twitter.com/DLandonHSCS;
twitter.com/GSandersonHSCS;
twitter.com/MHadzicHSCS;

Это очень сложная атака на цепочку поставок, последствия которой могли быть болезненными, утверждают исследователи. GitHub - крупнейшее в мире хранилище открытого исходного кода, и продукты, найденные там, являются строительными блоками программного обеспечения, используемыми бесчисленными организациями при создании своих решений и инструментов.

Если злоумышленнику удастся скомпрометировать существующий репозиторий или удастся проникнуть через вредоносный код, он может просочиться в многочисленные программы, теоретически скомпрометировав тысячи конечных точек. В зависимости от типа вредоносного ПО, распространяемого таким образом, злоумышленники могут получить доступ к конфиденциальным данным, могут участвовать в краже личных данных и атаках программ-вымогателей, а также в мошенничестве с использованием электронных средств связи.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме