Фейковые PoC-эксплойты на GitHub приносят троян для Windows и Linux

Екатерина Быстрова 14 Июня 2023 - 18:41

Домашние пользователи

Эксплойты

Трояны

Уязвимости программ

Уязвимость нулевого дня

Мошенничество

Онлайн-мошенничество

...

Фейковые PoC-эксплойты на GitHub приносят троян для Windows и Linux

Киберпреступники выдают себя за ИБ-специалистов на площадках Twitter и GitHub и публикуют фейковые демонстрационные эксплойты (PoC), которые якобы используют уязвимости нулевого дня (0-day) Задача — заразить системы Windows и Linux.

Имперсонаторы представляются исследователями из организации High Sierra Cyber Security, которой на самом деле не существует. Судя по всему, целями являются настоящие специалисты по кибербезопасности и компании, вовлеченные в поиск софтовых уязвимостей.

Репозитории, которые продвигают мошенники, похожи на легитимные, а личности, за которые себя пытаются выдать злоумышленники, хорошо известны в ИБ-сфере. Это, например, члены команды Rapid7 и других известных компаний. Вот как выглядит фейковый аккаунт:

Свою имитацию киберпреступники дублируют в Twitter, чтобы создать максимальную видимость легитимности. На активность мошенников обратили внимание специалисты VulnCheck. С мая 2023 года злоумышленники пытаются распространять поддельные эксплойты для 0-day в Chrome, Discord, Signal, WhatsApp и Microsoft Exchange.

Штука в том, что вредоносные репозитории содержат Python-скрипт «poc.py», выступающий в роли загрузчика вредоноса в системы Windows и Linux. Скрипт скачивает ZIP-файл со стороннего URL, причем архив подстраивается под ОС: пользователи Windows получают cveswindows.zip, а любители Linux — cveslinux.zip.

Зловред сохраняется во временную директории Windows — %Temp%, а также в папку /home/<имя_пользователя>/.local/share, если он запущен на Linux-устройстве.

В архивах лежат исполняемые файлы: cves_windows.exe (для Windows) и cves_linux (для Linux). Первый детектируется 60% антивирусов на VirusTotal, а второй гораздо более скрытный — всего три детекта.

Пользователям и исследователям стоит остерегаться следующих репозиториев:

github.com/AKuzmanHSCS/Microsoft-Exchange-RCE
github.com/MHadzicHSCS/Chrome-0-day
github.com/GSandersonHSCS/discord-0-day-fix
github.com/BAdithyaHSCS/Exchange-0-Day
github.com/RShahHSCS/Discord-0-Day-Exploit
github.com/DLandonHSCS/Discord-RCE
github.com/SsankkarHSCS/Chromium-0-Day

Также обходите стороной самих имперсонаторов:

twitter.com/AKuzmanHSCS
twitter.com/DLandonHSCS
twitter.com/GSandersonHSCS
twitter.com/MHadzicHSCS

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Июля 2025 - 12:28

Соответствие законодательству РФ Корпорации Системы аутентификации Средства электронной подписи (ЭП)Соответствие требованиям регуляторов Код Безопасности

Jinn Server 1.3.7 прошёл инспекционный контроль ФСБ и поступил в продажу

Программно-аппаратный комплекс электронной подписи Jinn Server версии 1.3 (сборка 1.3.7.218) прошёл инспекционный контроль ФСБ России и получил два сертификата соответствия. Первый — по классу КС1 для исполнения 1 (№ СФ/111-5166), второй — по классу КС2 для исполнения 2 (№ СФ/111-5167). Оба действуют до 17 мая 2028 года.

Продукт «Кода Безопасности» подтвердил соответствие требованиям к средствам криптографической защиты информации и электронной подписи — для работы с информацией, не содержащей сведений, составляющих гостайну.

В новой версии Jinn Server появились доработки, связанные с усилением электронной подписи: в CMS-формате теперь к полю подписанта добавляется дата и время создания подписи.

Это касается как пользовательских подписей, так и штампов времени, применяемых в форматах CAdES и XAdES.

Также появились новые правила обработки полей сертификатов — в зависимости от даты их выпуска, и добавлена поддержка расширения IdentificationKind в квалифицированных сертификатах.

Эти изменения позволяют соответствовать требованиям приказов ФСБ № 795 и № 476, что необходимо для использования решения в системах юридически значимого ЭДО.

Кроме того, Jinn Server теперь поддерживает российскую операционную систему РЕД ОС 7.3.1 МУРОМ.