使用Dimnie特洛伊木马的Github开发人员受到了广泛的电子邮件诈骗

配音迪姆尼，侦察和间谍特洛伊木马能够获取凭据、下载敏感文件、截屏、记录32位和64位体系结构上的击键、在受感染的系统上下载其他恶意软件，并在接到命令时进行自毁。

在过去的三年里，该恶意软件在很大程度上一直处于雷达监视之下–；由于其隐蔽的指挥和控制方法。

这一威胁是在今年1月中旬发现的，当时它通过网络钓鱼电子邮件针对Github存储库的多个所有者，但周二报道这一活动的网络安全公司Palo Alto表示，攻击开始于几周前。

以下是攻击的工作原理：

攻击开始于向活跃的GitHub用户的电子邮件收件箱发送带有诱杀装置的工作邀请。本次活动中使用的消息试图诱骗受害者运行附加的恶意软件。文件。

doc文件包含嵌入式宏代码，如果允许，它会执行PowerShell命令下载并安装Dimnie特洛伊木马–；可远程控制的恶意软件，使攻击者能够劫持受感染的电脑并安装其他恶意软件。

戴姆尼不是新来的；它最早出现在2014年初，但在新版Dimnie恶意软件中使用了秘密命令和控制（C&C）方法，这使得该威胁直到今年才被注意到。

戴姆尼的隐形特征让它在三年内都没有被发现

这个新的迭代能够在假域和DNS请求下隐藏其恶意流量。为了隐藏其连接，Dimnie使用HTTP代理请求，这些请求似乎被发送到谷歌拥有的域，但它实际上是在与攻击者控制的地址通话，而攻击者与谷歌无关。

为了更隐蔽，恶意软件在传输过程中对其所有模块进行加密，一旦在目标计算机上接收并解密，它们就永远不会写入或在其硬盘上执行。

相反，Dimnie将它们直接注入Windows核心进程的内存中，然后在操作系统内存中执行，而不会在用户的磁盘上留下痕迹。这使得Dimnie操作员可以将其恶意模块注入任何合法应用程序的进程中。

帕洛研究人员总结道：“我们在本文中分析的2017年1月行动的全球影响范围与之前的迪姆尼目标战术明显不同。多种因素促成了迪姆尼相对长久的存在。”。

“通过将上传和下载网络流量掩盖为无害的用户活动，迪姆尼利用了捍卫者对正常流量的假设。这种混合策略，再加上之前对俄语使用者使用的目标系统的偏好，可能使迪姆尼保持相对不为人所知。”

由于该恶意软件将其通信隐藏在常规通信之后，并在操作系统内存中执行，Palo研究人员无法推测最新的钓鱼电子邮件活动背后的攻击者，或他们针对开源开发人员的确切动机。

然而，通过访问属于私有GitHub存储库所有者的计算机，攻击者可以访问他们为其组织管理的应用程序的源代码，从而可以访问各个组织的内部网络。