forklog.com
Специалисты MalwareHunterTeam обнаружили вредоносную версию отладчика dnSpy, устанавливающую на компьютеры жертв скрытые майнеры и трояны.
Someone made a dnSpy version that has a "gift": https://github[.]com/isharpdev/dnspy
— MalwareHunterTeam (@malwrhunterteam) January 8, 2022
Until about an hour ago it was available here, then got renamed (probably to look more legit) to the above: https://github[.]com/carbonblackz/dnspy/@GitHubSecurity pic.twitter.com/WZxhc7c7lC
dnSpy обычно используется исследователями и разработчиками для модификации и декомпиляции программ. ПО также популярно среди специалистов по кибербезопасности, занимающихся анализом .NET-вредоносов.
На момент написания дебаггер уже не поддерживается изначальными девелоперами, но его исходный код доступен на GitHub. Там же находится разрабатываемая версия, которую любой желающий может клонировать и модифицировать. Именно этим и воспользовались хакеры.
Вредоносная версия dnSpy может загружать на зараженное устройство скрытые майнеры, троян Quasar, а также софт, модифицирующий буфер обмена и ворующий криптовалюты.
Киберпреступники успели даже создать специальный сайт для популяризации своей программы (на момент написания недоступен) и запустили рекламную кампанию в поисковых выдачах популярных систем: Bing, Yahoo, AOL, Yandex и Ask.com.
Пока что вредоносную версию dnSpy обнаруживают только несколько антивирусных движков.
Напомним, в конце декабря 2021 года неизвестные злоумышленники воспользовались уязвимостью в популярной библиотеке Log4j для получения контроля над серверами на базе AMD EPYC с целью майнинга криптовалюты Raptoreum.