Первые жалобы на фишинговые письма стали появляться в конце января текущего года. Однако, как показало расследование ИБ-экспертов Palo Alto, атаки начались несколькими неделями ранее. Троян Dimnie сложно назвать популярным, однако кампания с его использованием ничем не отличается от других подобных атак.
Злоумышленники рассылают пользователям GitHub письма якобы с предложением работы. "Здравствуйте. Я нашел вашу программу online. Могли бы вы написать код для моего проекта? Задачи описаны во вложении к письму. Если вы согласны, можем обсудить оплату. Жду вашего ответа", - говорится в одном из фишинговых писем.
Согласно другому письму, некий Адам Бухбиндер (Adam Buchbinder) увидел репозиторий разработчика на GitHub и был "сильно впечатлен". Приманка та же, что и в представленном выше сообщении. Потенциальный заказчик предлагает работу, а все условия изложены в приложенном к письму документе. Прикрепленный файл представляет собой архив, после распаковки открывающий Word-документ с макросами. После активирования макросы выполняют ряд команд PowerShell по загрузке и установке трояна Dimnie.
По словам исследователей, используемая в фишинговой кампании версия вредоноса является совсем новой (оригинальный Dimnie появился в 2014 году). Троян способен маскировать вредоносный трафик, а его модули выполняются в памяти ОС, не оставляя следов на диске пользователя. Dimnie может внедрять свои модули в процессы любого приложения, собирать и передавать данные на C&C-сервер, фиксировать нажатия на клавиатуре, делать скриншоты и самоуничтожаться после получения соответствующей команды.