Water Curse: Как хакеры используют GitHub для распространения вредоносного ПО

Атака начинается с загрузки проектов, таких как Email-Bomber-SMTP и Sakura-RAT, которые содержат скрытые скрипты. При компиляции кода срабатывает предварительно встроенный вредоносный код, который запускает цепочку заражения. Используются обфусцированные скрипты на VBS и PowerShell, чтобы загружать дополнительные модули, включая Electron-приложения с функционалом для сбора данных.

Основные цели злоумышленников - кража учетных данных, данных браузеров, токенов сессий и установка удаленного доступа. Water Curse применяет техники анти-отладки, эскалации привилегий и механизмы персистентности, такие как запланированные задачи и модификации реестра. Это позволяет им долгое время оставаться незамеченными в системе.

Один из ключевых инструментов - SearchFilter.exe, который маскируется под легитимное ПО и выполняет сбор информации о системе, включая данные GPU, процессоров и сетевых подключений. Также используются скрипты для отключения защитных механизмов, таких как Windows Defender и System Restore.

Собранные данные упаковываются в архив с помощью 7-Zip и отправляются на внешние серверы через легальные сервисы, включая Telegram и Gofile. Это позволяет злоумышленникам скрыть факт утечки.

Water Curse ориентируется на разработчиков, специалистов по кибербезопасности и геймеров, что делает их кампанию особенно опасной для open-source сообщества. Эксперты Trend Micro рекомендуют тщательно проверять исходный код, скрипты и историю репозиториев перед использованием, а также применять решения для обнаружения подобных угроз.

Эта атака подчеркивает растущую угрозу цепочки поставок в open-source экосистеме, где злоумышленники эксплуатируют доверие пользователей для распространения вредоносного ПО.

IPv4

• 46.101.236.176

URLs

• https://github.com/unheard44/fluid_bean/releases/download/releases/SearchFilter.7z
• https://pastebin.com/raw/LC0H4rhJ
• https://pastejustit.com/raw/tfauzcl5xj
• https://popcorn-soft.glitch.me/popcornsoft.me
• https://rlim.com/seraswodinsx/raw

SHA1

• 27c4161777ba005166156de311ba58de49eac874
• 435e74551890b8c70c4b09446ec6ce0a932763f5
• 4c189405d684eb8e70b1848b356967e783b9c543
• 4c391ebeff4cdfbc87ca83772a535d4386e5a5b2
• 585b76875aad1c99d3e06c29ad46b3adeb45639d
• 5cd53d94caf0e811b82bad958b34322eb082567f
• 60bdf425bd22c34bad7d5663db31d2107153f729
• 68911ad6696cfdb15c967a82c2d8aab1be634659
• 6b78948f441eee53f21791d4dd88dd4fdcd5f7e3
• ad25ee224973140d41c6ecf1c1500d4efeb0b324
• d94f476b2aceaf4e83197475280f89ecbe3b8d35
• e1a02b787597a844b82a73c2488000088d0533b4
• fdb9fc2de72be71084cc60508d00bedbf9337172