- 19,404
- 40
- 8 Ноя 2022
Трояны заражает тысячи устройств через репозитории, которым доверяют программисты.
В апреле 2025 года специалисты Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся новую киберугрозу: злоумышленники используют публичные репозитории на GitHub в качестве платформы для размещения вредоносных программ, задействованных в распространении трояна Для просмотра ссылки Войди или Зарегистрируйся . По мнению исследователей, создание поддельных аккаунтов на GitHub позволило атакующим не только обойти веб-фильтры, но и упростить логистику вредоносной кампании.
В центре этой схемы находится загрузчик Emmenhtal (известный также как Для просмотра ссылки Войдиили Зарегистрируйся ), через который Amadey попадает на устройства жертв. После установки он загружает разнообразные вредоносные модули прямо с GitHub, включая плагины для Amadey, расширяющие его функциональность. Ранее Emmenhtal использовался в похожей фишинговой кампании в феврале 2025 года, в ходе которой через поддельные счета и платёжные уведомления распространялся SmokeLoader.
Emmenhtal и Amadey действуют как загрузчики для последующих вредоносных программ, в том числе инфостилеров и программ-вымогателей. Однако, в отличие от Emmenhtal, Amadey обладает встроенной возможностью сбора информации о системе и может расширяться за счёт плагинов в виде библиотек DLL, предоставляющих доступ к таким функциям, как кража учётных данных и создание скриншотов.
В хакерской операции были задействованы три аккаунта на GitHub — Legendary99999, DFfe9ewf и Milidmdds. Именно через них распространялись инструменты атаки, плагины Amadey и дополнительные вредоносные модули, включая Lumma Stealer, RedLine Stealer и Rhadamanthys Stealer. Все упомянутые аккаунты уже удалены администрацией GitHub.
Часть вредоносных скриптов на JavaScript из этих репозиториев полностью совпадает с теми, что применялись в более ранней кампании со SmokeLoader. Ключевое различие — в загружаемых вредоносных компонентах: теперь вместо SmokeLoader используется Amadey, а также AsyncRAT и даже легитимная версия PuTTY.exe, что усложняет выявление угрозы.
Кроме того, в одном из репозиториев обнаружен Python-скрипт, представляющий собой усовершенствованную версию Emmenhtal. Он содержит встроенную PowerShell-команду, с помощью которой Amadey скачивается с заранее указанного IP-адреса. Это подтверждает наличие масштабной преступной Для просмотра ссылки Войдиили Зарегистрируйся -схемы, в рамках которой GitHub используется как средство доставки вредоносного ПО.
Одновременно с этим компания Trellix Для просмотра ссылки Войдиили Зарегистрируйся о другой фишинговой кампании, направленной на финансовые организации Гонконга. В её центре находится загрузчик SquidLoader, сочетающий в себе обилие техник противодействия анализу, отладки и эмуляции, что делает его особенно труднообнаружимым. После успешного заражения он устанавливает модуль Cobalt Strike для удалённого доступа и управления системой.
В параллельных кампаниях по всему миру наблюдаются всё более изощрённые методы социальной инженерии, направленные на распространение вредоносных программ. Среди них — использование тем с налогами, электронными квитанциями, письмами от имени госорганов, в том числе подделок под службы США. В ход идут даже QR-коды в PDF-файлах, ссылающиеся на фальшивые страницы входа, и фишинговые наборы, маскирующиеся под службы Amazon Web Services и защищённые капчей Cloudflare.
Отдельного внимания заслуживает рост популярности приёмов обхода систем безопасности, таких как архивы с паролями, SVG-файлы с внедрённым JavaScript и целые сервисы по «маскировке» вредоносных сайтов под безопасные — CaaS (cloaking-as-a-service).
Для просмотра ссылки Войдиили Зарегистрируйся Cofense, почти 60% наиболее технически сложных атак в 2024 году использовали QR-коды, а защищённые архивы остаются ключевым способом обойти фильтры электронной почты, делая атаки всё более сложными для обнаружения.
В апреле 2025 года специалисты Cisco Talos Для просмотра ссылки Войди
В центре этой схемы находится загрузчик Emmenhtal (известный также как Для просмотра ссылки Войди
Emmenhtal и Amadey действуют как загрузчики для последующих вредоносных программ, в том числе инфостилеров и программ-вымогателей. Однако, в отличие от Emmenhtal, Amadey обладает встроенной возможностью сбора информации о системе и может расширяться за счёт плагинов в виде библиотек DLL, предоставляющих доступ к таким функциям, как кража учётных данных и создание скриншотов.
В хакерской операции были задействованы три аккаунта на GitHub — Legendary99999, DFfe9ewf и Milidmdds. Именно через них распространялись инструменты атаки, плагины Amadey и дополнительные вредоносные модули, включая Lumma Stealer, RedLine Stealer и Rhadamanthys Stealer. Все упомянутые аккаунты уже удалены администрацией GitHub.
Часть вредоносных скриптов на JavaScript из этих репозиториев полностью совпадает с теми, что применялись в более ранней кампании со SmokeLoader. Ключевое различие — в загружаемых вредоносных компонентах: теперь вместо SmokeLoader используется Amadey, а также AsyncRAT и даже легитимная версия PuTTY.exe, что усложняет выявление угрозы.
Кроме того, в одном из репозиториев обнаружен Python-скрипт, представляющий собой усовершенствованную версию Emmenhtal. Он содержит встроенную PowerShell-команду, с помощью которой Amadey скачивается с заранее указанного IP-адреса. Это подтверждает наличие масштабной преступной Для просмотра ссылки Войди
Одновременно с этим компания Trellix Для просмотра ссылки Войди
В параллельных кампаниях по всему миру наблюдаются всё более изощрённые методы социальной инженерии, направленные на распространение вредоносных программ. Среди них — использование тем с налогами, электронными квитанциями, письмами от имени госорганов, в том числе подделок под службы США. В ход идут даже QR-коды в PDF-файлах, ссылающиеся на фальшивые страницы входа, и фишинговые наборы, маскирующиеся под службы Amazon Web Services и защищённые капчей Cloudflare.
Отдельного внимания заслуживает рост популярности приёмов обхода систем безопасности, таких как архивы с паролями, SVG-файлы с внедрённым JavaScript и целые сервисы по «маскировке» вредоносных сайтов под безопасные — CaaS (cloaking-as-a-service).
Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
