Исследователи безопасности из компании Avast обнаружили новый способ распространения майнеров криптовалют.
По словам экспертов, киберпреступники внедряют код вредоносного ПО в копии проектов на портале GitHub. Так называемые «ответвления» (fork) проектов на Github представляют собой копии чужих проектов с некоторыми изменениями.
В данном случае киберпреступники создают ответвления случайных проектов, а затем скрывают вредоносные файлы в структуре каталогов. Пользователям не требуется загружать вредоносные исполняемые файлы непосредственно с GitHub. Вместо этого вредоносная программа распространяется через фишинговую рекламную кампанию.
Как сообщили исследователи, файл загружается, когда пользователь посещает сайт, на котором размещается фишинговое рекламное объявление, и нажимает на одно из них. При нажатии на объявление, на компьютер пользователя устанавливается вредоносное ПО под видом обновления для Adobe Flash Player. «Обновление» загружается с GitHub, где размещается код вредоноса, скрытый в копиях проектов.
Помимо этого, вредоносное ПО также устанавливает вредоносное расширение Chrome, которое отображает и нажимает на рекламные объявления в фоновом режиме, позволяя злоумышленникам извлекать еще большую прибыль из вредоносной кампании.
По словам специалистов, размещение вредоносных программ на GitHub само по себе довольно необычно, однако, данный метод обладает рядом преимуществ, в частности, неограниченной пропускной способностью. Как выяснили эксперты, злоумышленники также приложили дополнительные усилия, чтобы как можно дольше оставаться незамеченными. В частности, майнер настроен для использования максимум половины мощностей процессора жертвы.
«Используя меньшую мощность процессора, киберпреступники максимизируют свою прибыль, оставаясь незамеченными и тем самым продлевая время эксплуатации зараженного оборудования», – отметили специалисты. В настоящее время администраторы GitHub активно работают с Avast для удаления вредоносных копий проектов, однако злоумышленники также проявляют настойчивость и повторно загружают их в репозиторий.