В апреле 2025 года эксперты зафиксировали волну атак: злоумышленники выкладывали вредоносные программы прямо в открытых репозиториях GitHub и распространяли их с помощью известного вируса Amadey.
Исследователи отмечают: операторы MaaS (malware-as-a-service) создавали фейковые аккаунты на GitHub, чтобы хранить там опасные файлы, плагины и сам Amadey — это позволяло обходить веб-фильтры и облегчало заражение новых устройств.
Схема атак строилась на использовании загрузчика Emmenhtal (он же PEAKLIGHT), который доставлял вирус Amadey на компьютер. Уже через него вредоносные файлы скачивались прямо из репозиториев GitHub, находящихся под контролем хакеров.
Подобные методы были замечены ещё в феврале 2025 года: тогда через электронные письма-счета мошенники распространяли SmokeLoader с помощью того же Emmenhtal, атакуя организации в Украине.
Emmenhtal и Amadey часто используются для доставки других вирусов, например опасных stealers, а Amadey ранее был замечен при распространении вымогателя LockBit 3.0.
Главное отличие — Amadey умеет собирать информацию о системе и подключать дополнительные возможности через DLL-плагины: воровать пароли, делать скриншоты и многое другое, чего не умеет Emmenhtal.
В апреле 2025 года анализ показал: хакеры задействовали три аккаунта на GitHub (Legendary99999, DFfe9ewf, Milidmdds), где размещались плагины Amadey, дополнительные файлы и скрипты для атак — в их арсенале были Lumma Stealer, RedLine Stealer, Rhadamanthys Stealer. Все эти аккаунты на сегодня уже удалены GitHub.
В некоторых JavaScript-файлах специалисты обнаружили те же фрагменты кода, что и при запуске SmokeLoader — различались только финальные вирусы. На этот раз загрузчик Emmenhtal использовался для подгрузки Amadey, AsyncRAT и даже легального PuTTY.exe.
Кроме того, в репозиториях нашли Python-скрипт — вероятно, это была следующая версия Emmenhtal, уже с встроенной PowerShell-командой, способной скачивать Amadey по заданному IP-адресу.
Эксперты считают: частью одной из самых крупных MaaS-групп используется целая сеть аккаунтов на GitHub, чтобы превратить платформу Microsoft в центр распространения вредоносов.
Пока идёт эта кампания, специалисты выявили ещё одну масштабную фишинговую атаку с новым загрузчиком SquidLoader против финансовых организаций Гонконга. По их данным, подобные схемы атак сейчас работают и в Сингапуре, и в Австралии.
SquidLoader особенно опасен: он оснащён множеством средств для обхода анализа и обнаружения — защищён от песочниц и отладчиков, а вскрыть что-то внутри практически невозможно. Вирус связывается с управляющим сервером, получая команды для следующей стадии заражения.
По данным исследователей, атака SquidLoader заканчивается внедрением Cobalt Strike — с ним хакеры получают полный контроль над устройством жертвы. Комплексность маскировки и минимальная заметность делают этот вирус крайне опасным для бизнеса.
И это только малая часть масштабных социнженерных атак, которые хакеры используют для распространения вредоносных программ:
- Мошеннические письма (UNC5952) с поддельными счетами — вложения устанавливают загрузчик CHAINVERB и открывают доступ через ConnectWise ScreenConnect
- Рассылка писем от "налоговой": троян маскируется под PDF и тайком ставит ConnectWise ScreenConnect
- Фишинговые письма от якобы службы социального страхования США (SSA) — крадут пароли или устанавливают заражённый ConnectWise ScreenConnect, а жертве предлагают якобы синхронизировать приложение Phone Link для доступа к СМС и кодам 2FA
- Использование набора Logokit для создания липовых страниц входа с хостингом на AWS, чтобы обходить фильтры и придавать достоверность с помощью Cloudflare Turnstile CAPTCHA
- Создание вредоносных phishing-сервисов на Python Flask — теперь украсть пароли стало проще даже новичкам
- Прикрепление к письмам PDF с QR-кодами, ведущими на фейковые страницы Microsoft (операция Scanception)
- Распространение через ClickFix: пользователи получают Rhadamanthys Stealer и NetSupport RAT
- Маскировка вредоносных сайтов через службы «плащи», такие как Hoax Tech и JS Click Cloaker: автоматические сканеры не видят такие домены, но жертвы могут попасть туда по ссылке
- Исключительно правдоподобные фишинговые письма, написанные на HTML и JavaScript — такими можно обмануть и людей, и антивирусы
- Атаки B2B через письма с SVG-вложениями: JavaScript внутри “картинки” перенаправляет пользователя на сайты, контролируемые злоумышленниками
По статистике Cofense, в 2024 году 57% сложных атак по всему миру использовали QR-коды для кражи данных. Среди других популярных трюков — архивы с паролем: это позволяет обойти фильтры, ведь они не видят, что внутри скрыт вирус.
«Если архив защищён паролем, фильтры просто не способны заглянуть внутрь — поэтому такие файлы часто проходят сквозь защиту», — объясняют аналитики Cofense.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru