Они создали почти два десятка репозиториев, содержащих искусственно раздутые архивы RAR, где скрывалась небольшая программа-вредонос RisePro. Она выводила украденные данные в Telegram.
Репозитории представляли собой копии популярного коммерческого программного обеспечения, такого как AVAST, FabFilter, DaemonTools, CCleaner и др. Для маскировки, злоумышленники добавляли в README.md файл символьные иконки в виде зеленых кружков, имитирующие статусные индикаторы и текущую дату, чтобы придать своим репозиториям вид легитимности. При скачивании пользователем архива загружался вредоносный загрузчик, внедряющий RisePro в системные процессы AppLaunch.exe или RegAsm.exe.
RisePro, написанный на языке C++, собирал системную информацию и отправлял ее в приватные каналы в Telegram. Помимо этого, исследования показали, что из этого бота также можно было передавать информацию в другие аккаунты в Telegram.
Кроме RisePro, существуют и другие вредоносные программы, такие как Masad Stealer, Zaraza Bot, ToxicEye, которые также используют Telegram для вывода данных или управления. Это подчеркивает использование злоумышленниками платформ с защищенными коммуникациями в своих целях.
Ранее мы писали, что появился новый вид мошенничества с кражей номера телефона.