Команда аналитиков обнаружила широкомасштабную кампанию по распространению вредоносного программного обеспечения, которая использует платформу GitHub как основной канал привлечения жертв. Операция получила название Muck and Load. Она объединяет более двухсот репозиториев, имитирующих легитимные инструменты разработчика. Целевой аудиторией стали пользователи, интересующиеся криптовалютами, игровыми читами, ботами для Telegram и прочими утилитами, которые часто запускают непроверенный код. Исследование проведено на основе данных, предоставленных профильными специалистами.
Описание
Ключевым элементом стал вредоносный Go-модуль, опубликованный под видом сканера DNS/поддоменов. Модуль содержал скрытый загрузчик для Windows. При выполнении он запускал PowerShell со скрытым окном, загружал закодированный скрипт с удалённого сервера и декодировал его с помощью штатной утилиты certutil. Затем выполнялся второй скрипт, который обращался к публичным dead-drop-площадкам - Pastebin, Rlim, Telegram и другим - для получения зашифрованного адреса финальной полезной нагрузки. Такое решение позволяет злоумышленникам менять конечную ссылку без обновления самого модуля. Это повышает устойчивость атаки к блокировкам.
После расшифровки скрипт загружал защищённый паролем архив Quixo.7z из репозитория GitHub. Архив содержал Electron-приложение, которое извлекалось в каталог, маскирующийся под стандартную установку Microsoft Photos - C:\ProgramData\Windows.Microsoft.Photos\. Оттуда запускался файл Microsoft.exe, подписанный сертификатом сторонней компании. По данным проведённого анализа, этот исполняемый файл связан с активностью известных троянов удалённого доступа AsyncRAT, Quasar и Remcos, а также с инфостилером Vidar. Кроме того, в цепочке загрузки были выявлены криптомайнеры XMRig и BitMiner.
Особое внимание исследователи уделили инфраструктуре GitHub. Они обнаружили 222 репозитория, распределённых по 190 учётным записям, которые поддерживались с помощью автоматизированных GitHub Actions. Каждый такой репозиторий каждую минуту выполнял workflow: изменял timestamp-файл и принудительно пушил коммит с почтовым адресом ischhfd83@rambler.ru. Эта метрика позволила однозначно идентифицировать часть вредоносной сети. Хотя визуально коммиты связывались с именем владельца репозитория, единый адрес электронной почты выдавал общее управление. Такой подход создавал иллюзию активной разработки и повышал доверие потенциальных жертв.
Тематика репозиториев охватывала криптокошельки, seed-фразы, автоматизацию P2P-обменников, игровые читы, ботов для Discord и Telegram. Многие проекты дублировались под разными аккаунтами. Это указывает на шаблонную генерацию, а не на органическую разработку. Некоторые из подтверждённых репозиториев содержали исполняемые файлы прямо в дереве исходного кода или в релизных архивах. Всего найдено 14 уникальных вредоносных файлов, среди которых Loader.exe, проявлявшийся в четырёх разных репозиториях.
Цепочка заражения демонстрирует продуманную многослойную архитектуру. Первый этап - Go-модуль, который лишь маскируется под утилиту. Он запускает PowerShell, тот обращается к распределённым dead-drop-источникам, затем загружается зашифрованный URL архива, архив извлекается с помощью 7-Zip, и в итоге выполняется вредоносное приложение под видом системного компонента Windows. На каждом этапе используются легитимные инструменты (PowerShell, certutil, 7-Zip), что затрудняет обнаружение.
После запуска Microsoft.exe вредонос демонстрирует широкий набор возможностей: обход защиты (отключает UAC и элементы Microsoft Defender), сохраняет устойчивость через планировщик задач и службы, собирает данные из браузерных профилей, делает скриншоты и связывается с командным сервером через Telegram или другие публичные веб-сервисы. Зафиксированы вызовы низкоуровневых API для внедрения кода в процессы, манипуляции с памятью и привилегиями. Такая комбинация соответствует полнофункциональному RAT с функциями инфостилера.
Исследователи отметили, что операция Muck and Load является частью более широкого кластера активности, связанного с тем же адресом электронной почты, который ранее изучали эксперты Sophos. Схожие приёмы - фейковые инструменты, игровые ловушки, цепочки через PowerShell, архивы с паролем, маскировка под Microsoft, сбор экранных снимков и учётных данных - указывают на единого или координируемого оператора. Меняющиеся домены, названия репозиториев и адреса dead-drop-площадок не меняют устойчивого шаблона поведения.
Разработчикам и организациям следует учитывать, что подобные кампании не ограничиваются единичными вредоносными пакетами. Инфраструктура доверия выстраивается через множество подставных проектов. Наибольший риск несут пользователи, которые запускают непроверенные скрипты, особенно из сфер криптовалют и игр. Поводом для подозрения должны стать необычно высокая версионность модуля, скрытые вызовы PowerShell и certutil, отключение проверки сертификатов, а также GitHub-репозитории, в которых единственная активность - каждоминутная принудительная запись timestamp. При обнаружении таких признаков рекомендуется воздержаться от запуска предлагаемого кода и сообщить о находке в службу безопасности GitHub. Удаление конкретных репозиториев лишь временно затруднит атаку, но не устранит саму угрозу, поэтому сообществу нужно сосредоточиться на поведенческих индикаторах и анализе кластеров, а не на единичных признаках компрометации.
Индикаторы компрометации
Domain
- muckcoding.com
- muckdeveloper.com
URL
- https://docs.google.com/document/d/1PnogKWvfa3ZcCnmKfnb3pJYXMBmcQe5k_6bBuPUailQ/export?format=txt
- https://gitcode.com/LastWer/MicrosoftCur/raw
- https://github.com/tb78/expresso/releases/download/Release/Quixo.7z
- https://muckcoding.com/LG-LW/Api-Certificate
- https://muckdeveloper.com/LGTV/MicrosoftCur
- https://pastebin.com/raw/xy32SJgf
- https://rlim.com/MicrosoftCur/raw
- https://t.me/s/dwmic
- https://www.instagram.com/p/DG20Zt9Mj4P/
- https://youtu.be/GAS67zAOssc
- ischhfd83@rambler.ru
SHA256
- 129de16fe69763f767d8249279a2c4a1a6deafadd1a84563bd84b258ea010bff
- 235a64e3520b1c2c27763122b303f78aee8d7c083dfd9f1eb936cd5174383609
- 2f416aac027f19f563cc45e3b4b72e992aaafb63da27f968b9a76a391134dc7d
- 33497c69c21fa96bbc96f1d7f09608e462f8ab22555364977c0bd35fef27bc29
- 45126b353f1636103da356121cd00b229b635b41b99d91166e6d7d9037482242
- 4ea1c577247b149489506b230e7aa203e1a2fa124109c6056d1986e944f520a4
- 51cada347262d7b2bcde70552fcdae221625ad75435cee8a9c3e7b67cc47a807
- 57e0449fb13766b0b2f7c057b1f89911e9ed23cac7e71d5d69fde47571239629
- 73c807df26427d6631088a822fa54c30975afbe681a9d83eff5d19e5b075d6c2
- 810614290bdb14d2ddf10f65f8adc988a8272764f2a9e2c378e52fad162da344
- 86819efe7319b664920ba2e1fd4b079a4e6b5eaaebeeb1adb2c1c8dc3c81ee0c
- 938054c6bb7dc737fce16513b2882808f199c2f892f808d439525a1650d49089
- 969b0bfd605aa2cddf353f3638b0dee26b1c2305600231e055fa6d7786a879fe
- 9df11356c5ac61d2aa7b5425e6322fc016b0ed5790dacb201396500b3eee03f7
- a2e7989742c6b6436ebb47507881946e4f662080dff71d104eb9a9554f38af7a
- a628ad47fe93ee7413cca90aeca8f9540bfcd5ccdbeb4d9914670b3ef66247f4
- b27f694c974b44fe2f4a8a25680997db574fa35686c30fa4c4dc9dd4ec40005e
- d7747e7a3c782009f4ceb6e9c106115876386853929563b509da5258e3968d15
- d95bba20f04687b0b821d4fc0a17137db8b9eda5fe3fb34da319abefc45fe0d1
- e576a61e1a2ba71e764647bb2f0883c2f8fa4d591799c60d21a84230ee7a5b63
- e73491065d86b1ad69229bb5d2019e08b947e11a2a57adf5c2d9a2b5d8f4acad
- ec1cac2ada6726623b4bafb94c204c359ce7cdf5325909137fc0e6aef506783f
- f245956c930f220f0bedf355a751a5cd738b4ec6bb6c5d584199ab3fa6c0a1c4