20:00 / 17 июня 2025
Киберпрестпники начали распространять фишинговый сервис ИИ-генератора Sora через GitHub, используя ажиотаж, который образовался вокруг данной модели нейросети, рассказала эксперт компании «Газинформсервис» Ирина Дмитриева. Они хотят украсть конфиденциальные данные пользователей.
Впервые вредоносное ПО было обнаружено 21 мая 2025 года, однако уже распространилось на несколько стран. Для большей убедительности злоумышленники имитируют легальных дистрибутивов ПО, делают красивую презентацию, а также документацию. Отмечается, что оно способно обойти стандартные системы обнаружения Windows.
Когда пользователь скачивает на свое устройство ярлык Sora Al.lnk, думая, что он настоящий, то при инициализации на устройстве этот файл размером 1,98 КБ запускает сложную последовательность команд PowerShell. Во время разворачивания ВПО устанавливается соединение с репозиторием GitHub злоумышленника и загружается полезная нагрузка следующего этапа.
«Атака проходит в несколько этапов, при этом каждый пакетный файл загружает и запускает последующие компоненты из репозитория GitHub ArimaTheH/a. Вредоносная программа создает временные файлы со случайными именами, чтобы избежать обнаружения. Конечная полезная нагрузка устанавливает несколько пакетов, включая requests, websocket-client и cryptography для Python, предоставляющие инструменты для кражи данных и зашифрованной связи с инфраструктурой управления и контроля», – сказала Дмитриева.
Она также добавила, что для обеспечения безопасности, необходимо заблокировать доступ к репозиторию ArimaTheH/a через межсетевые экраны и отключить выполнение PowerShell-скриптов по умолчанию. Также необходимо проверять репутацию GitHub-репозиториев через VirusTotal перед загрузкой.
Ранее стало известно, что в мае текущего года российские банки впервые столкнулись с хакерскими атаками, использующими вредоносное ПО SuperCard (модификацию программы для анализа NFC-трафика NFCGate). До этого аналогичные атаки были зафиксированы в европейских странах, включая Италию.
Поделиться новостью
20:00 / 17 июня 2025
19:40 / 17 июня 2025
19:20 / 17 июня 2025
19:00 / 17 июня 2025
Хакер украл 8,4 млн данных пользователей каршеринга Zoomcar
19:40 / 17 июня 2025
В РФ обнаружили новую хакерскую группировку
17:40 / 17 июня 2025
Хакеры используют SuperCard для кражи данных
13:00 / 17 июня 2025
