一个网络钓鱼电子邮件,试图用先进的木马病毒攻击GitHub的开发者。

Dubbed Dimnie,和间谍木马的侦察已经具备较为完善的能力,如:下载敏感文件,截图,在32位和64位架构的按键记录,下载其他恶意软件感染的系统,和自毁当命令等。

恶意软件已经在过去的三年中悄然活动–由于其隐蔽的命令和控制方法使得它不容易被发现。

针对GitHub的开发者的恶意程序-Dimnie Trojan-RadeBit瑞安全

恶意程序的工作原理:

首先开始通过垃圾邮件使GitHub的用户的电子邮件收件箱无法工作。在这个过程中试图诱骗受害者进入运行一个附加的恶意邮件。doc文件。

DOC文件包含嵌入的宏代码,如果允许执行一个PowerShell命令来下载和安装dimnie–木马恶意软件,攻击者可以远程控制受害者的电脑,使攻击者可以劫持受感染的电脑并安装其他的恶意软件。

Dimnie是不是新生的?当然是NO!它在2014年初次出现,但使用隐身的指挥和控制(C&C)使得它到现在还是处于被人们忽视的状态。

Dimnie的隐形特征,让它未被发现3年

更多的隐蔽性:恶意软件在传输过程中加密所有的模块,一旦他们接收在目标计算机上,他们是不会写入或直接执行。相反,Dimnie把它们直接写进核心的Windows进程的内存,然后运行在操作系统自身的进程,不留痕迹,在用户的磁盘中。

“一月2017”活动,我们分析了多种因素促成了Dimnie的长期存在,“Palo的研究人员说道。

由于恶意软件隐藏其背后的通信规则以及执行操作系统中的内存,Palo的研究人员无法推测攻击者在最新的网络钓鱼电子邮件中或他们的确切动机或目标是什么!

然而,进入属于私人领域的个人电脑给攻击者一个GitHub库的方式访问,使得让攻击者能够管理他们组织的应用程序的源代码,让攻击者获得各种组织的内部网络结构。

*参考来源:thehackernews,RadeBit原创翻译,转载请注明来自RadeBit.COM