Группа злоумышленников, именующая себя GitGub, использовала GitHub для распространения вредоносного ПО под видом взломанных коммерческих приложений.
Они создали почти два десятка репозиториев, содержащих искусственно раздутые архивы RAR, где скрывалась небольшая программа-вредонос RisePro. Она выводила украденные данные в Telegram.
Репозитории представляли собой копии популярного коммерческого программного обеспечения, такого как AVAST, FabFilter, DaemonTools, CCleaner и др. Для маскировки, злоумышленники добавляли в README.md файл символьные иконки в виде зеленых кружков, имитирующие статусные индикаторы и текущую дату, чтобы придать своим репозиториям вид легитимности. При скачивании пользователем архива загружался вредоносный загрузчик, внедряющий RisePro в системные процессы AppLaunch.exe или RegAsm.exe.
RisePro, написанный на языке C++, собирал системную информацию и отправлял ее в приватные каналы в Telegram. Помимо этого, исследования показали, что из этого бота также можно было передавать информацию в другие аккаунты в Telegram.
Кроме RisePro, существуют и другие вредоносные программы, такие как Masad Stealer, Zaraza Bot, ToxicEye, которые также используют Telegram для вывода данных или управления. Это подчеркивает использование злоумышленниками платформ с защищенными коммуникациями в своих целях.
Ранее мы писали, что появился новый вид мошенничества с кражей номера телефона.