Prikaži glavni meni

Napadi trojanca Dimnie na korisnike GitHuba

Vesti, 30.03.2017, 01:00 AM

Korisnici GitHuba ciljevi su kampanje distribucije modularnog trojanca Dimnie koji se širi preko emailova. Korisnici GitHuba počeli su da se žale na ove napade krajem januara ove godine, ali istraživači iz firme Palo Alto koji su istraživali ove incidente kažu da su napadi počeli nekoliko nedelja ranije.

Način rada trojanca Dimnie relativno je uobičajen. Na email adrese izabranih korisnika GitHuba stižu emailovi čija je tema zaposlenje. Iako su u ovoj kampanji viđene različite verzije emailova, mamac je uvek isti - ponuda za posao. Detalje ponude korisnik navodno može saznati ako preuzme fajl u prilogu. Reč je o zip fajlu koji sadrži Word dokument. Žrtva treba da omogući makroe da bi se izvršio niz PowerShell komandi kojima se preuzima i instalira trojanac Dimnie.

Reč je o novoj verziji trojanca Dimnie, downloaderu koji se uglavnom nije menjao od kada se pojavio pre tri godine.

Analizirajući ovu novu verziju trojanca, istraživači su otkrili da je ona mnogo moćnija od prethodnih verzija. Nova verzija donosi mogućnost prikrivanja malicioznog saobraćaja lažnim domenima i DNS upitima, ali i veliki broj novih modula, koji se izvršavaju u memoriji operativnog sistema, tako da ne ostavljaju tragove na hard disku. Ovo poslednje pomaže napadačima da budu neprimetni.

Novi moduli su veoma moćni, i daju napadačima različite mogućnosti. Na primer, oni mogu da ubace maliciozni modul u proces bilo kog programa, i da tako prikupljaju različite vrste informacija sa inficiranog računara, da beleže kucanje na tastaturi, prave snimke desktopa, da izvlače ukradene podatke i šalju ih komandno-kontrolnom serveru.

Kada je nastala nova verzija malvera nije poznato, kao ni to kada je ona prvi put primenjena u napadima.

Nekoliko je mogućih razloga zbog kojih su izabrani baš korisnici GitHuba. Većina njih su programeri. Pristup njihovim kompjuterima omogućava napadačima pristup internim mrežama različitih organizacija. Ovi kompjuteri mogu biti korišćeni za izviđačke napade i proučavanje mreža kompanija pre pokretanja drugih napada.

Osim toga, neki korisnici imaju pristup privatnim GitHub repozitorijumima, koji pripadaju kompanijama i organizacijama koje tako upravljaju izvornim kodom svojih aplikacija. Pristup ovim repozitorijumima znači pristup kodu i intelektualnoj svojini, koji napadači mogu iskoristiti za ucenjivanje kompanija i prodaju koda konkurenciji.