Кажется, у хакеров теперь тоже есть опенсорс. При поддержке Microsoft

Разработчики трояна удалённого доступа PureHVNC вышли на новый уровень маскировки, используя GitHub для размещения исходного кода и модулей своего вредоносного инструментария. К такому выводу пришла команда Check Point Research, изучившая восьмидневную атаку с применением техники социальной инженерии под названием ClickFix .

В ходе расследования стало ясно, что серверы управления PureHVNC раздавали заражённым устройствам ссылки на GitHub-репозитории, где находились плагины и дополнительные компоненты семейства Pure. Исследователи установили связь этих репозиториев с аккаунтами разработчика под псевдонимом PureCoder. Анализ позволил проследить не только архитектуру самого вредоноса, но и практики его создания, а также выявить географический след автора.

Кампания началась с рассылки фишинговых писем, где жертв заманивали на поддельный сайт с вакансиями. Там открывался PowerShell-скрипт, написанный на Rust, который загружал PureHVNC RAT с идентификаторами «2a» и «amazon3». В течение восьми дней злоумышленник успел задействовать несколько вредоносных скриптов на JavaScript, дважды установить PureHVNC, закрепить его в системе через задачи планировщика и затем подключить фреймворк Sliver для полноценного управления сетью.

Зловред обеспечивал постоянный доступ, используя зашифрованные SSL-соединения для передачи информации о системе — данных об антивирусах, уровне привилегий, версии ОС и времени простоя. Для сокрытия активности данные сжимались и делились на блоки по 16 КБ. В ходе анализа удалось восстановить полный набор команд PureHVNC, формат конфигураций и механизм подключения плагинов . Выяснилось, что плагины хранятся в сжатом виде в реестре и распаковываются динамически при запуске.

Конструктор PureCrypter, поставляемый в комплекте, позволяет клиентам выбирать варианты шифрования, методы закрепления и техники внедрения кода. Подобная модульная структура даёт возможность атакующим адаптировать вредонос под любые цели.

Ключевым открытием исследователей Check Point стало то, что GitHub-аккаунты testdemo345 и DFfe9ewf/PURE-CODER-1 напрямую связаны с PureCoder. В этих репозиториях обнаружены исходники расширений TwitchBot и YoutubeBot, предназначенных для накрутки подписчиков, лайков и рекламных кликов. Метаданные коммитов указывают на часовой пояс UTC+0300, что может относить автора к Восточной Европе или Западной Азии. Дополнительно специалисты отметили, что PureHVNC внедряет техники обхода встроенных механизмов защиты Windows, включая отключение AMSI-проверки в памяти, а также перехват функций загрузки библиотек для подмены поведения процессов.

Финальной стадией заражения становится запуск расшифрованного шелл-кода через выделенную область памяти. Подобная организация позволяет скрывать присутствие программы и усложнять её анализ. В то же время использование GitHub как хранилища делает инфраструктуру злоумышленников более устойчивой и удобной для обновлений, но оставляет заметные следы. Это даёт возможность исследователям отслеживать создание новых репозиториев, анализировать паттерны коммитов и заблаговременно выявлять появление новых модулей.

Check Point также обнаружила панель администратора PureRAT, поддерживающую несколько языков, включая английский, русский и китайский, что указывает на ориентацию проекта на международный рынок киберпреступных услуг.

Сочетание высокой доступности GitHub, шифрованных каналов связи и встроенных инструментов управления делает PureHVNC серьёзной угрозой. Организациям рекомендуют внимательно отслеживать сетевую активность, особенно обращения к API GitHub и скачивание репозиториев из систем пользователей.

Признаком компрометации могут стать и задачи планировщика, ссылающиеся на такие загрузки, в сочетании с нетипичными SSL-подключениями на нестандартные порты. Дополнительным направлением для охоты является мониторинг новых версий PureCrypter и PureLogs, которые часто сопровождают атаки с применением PureRAT.

В перспективе авторы вредоноса могут отказаться от GitHub в пользу альтернативных площадок для совместной разработки или встроят загрузку модулей напрямую в сборщик. Для защиты необходимы гибкие методы обнаружения, которые сочетают сигнатурные проверки с поведенческими алгоритмами, учитывающими закономерности в работе самих разработчиков.

Понимание их инфраструктурных привычек и способов разработки позволяет ИБ-командам получить преимущество в борьбе с этим быстро эволюционирующим семейством угроз.