©
P-Reliz.ru - агрегатор пресс-релизов

Киберэксперт Дмитриева: новая фишинговая атака через GitHub маскируется под ИИ-генератор SoraAI

Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл 'SoraAI.lnk' под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.

«В данном случае киберзлодеи используют старую добрую технику фишинга из скоупа социальной инженерии, воспользовавшись ажиотажем вокруг новейших инструментов ИИ. Имитация легальных дистрибутивов ПО, красивая презентация инструмента и документация повышают доверие пользователей к репозиторию. Именно так вредоносный 'SoraAl.lnk' и попадает на эндпоинт жертвы. Разработчики часто загружают ПО с GitHub, что делает его идеальным инструментом для охвата технических специалистов», — объяснила Дмитриева.

Киберэксперт отметила, что вредоносное ПО, впервые обнаруженное 21 мая 2025 года, уже распространилось в нескольких странах. Его архитектура демонстрирует глубокое понимание механизмов безопасности Windows и обходит стандартные системы обнаружения.

«Первоначальное заражение начинается с ярлыка 'Sora Al.lnk', который пользователи скачивают, полагая, что это легитимный дистрибутив для запуска ИИ. При инициализации на устройстве этот файл размером 1,98 КБ запускает сложную последовательность команд PowerShell. На этапах разворачивания ВПО устанавливается соединение с репозиторием GitHub злоумышленника и загружается полезная нагрузка следующего этапа. Критичный момент, что вредонос использует легитимную инфраструктуру для предотвращения обнаружения. Атака проходит в несколько этапов, при этом каждый пакетный файл загружает и запускает последующие компоненты из репозитория GitHub 'ArimaTheH/a'. Вредоносная программа создаёт временные файлы со случайными именами, чтобы избежать обнаружения. Конечная полезная нагрузка устанавливает несколько пакетов, включая requests, websocket-client и cryptography для Python, предоставляющие инструменты для кражи данных и зашифрованной связи с инфраструктурой управления и контроля», — добавила киберэксперт.

«Архитектура вредоносного ПО демонстрирует глубокое понимание механизмов безопасности Windows и систем обнаружения конечных точек. Для защиты от фишингового сервиса SoraAI в GitHub рекомендуется заблокировать доступ к репозиторию ArimaTheH/a через межсетевые экраны и отключить выполнение PowerShell-скриптов по умолчанию. Обучите сотрудников проверять репутацию GitHub-репозиториев через VirusTotal перед загрузкой, ограничьте права пользователей с помощью политики минимальных привилегий и мониторьте создание временных файлов со случайными именами в системах. В то же время GSOC компании "Газинформсервис" обеспечивает предиктивную защиту именно от таких сложных угроз: специалисты помогут обнаружить отклонения в поведении пользователей и систем, вызванные кражей данных, даже если вредонос избежал сигнатурных детектов. При расследовании произошедших инцидентов вы получите единую картину угрозы — от точки входа до эксфильтрации данных — и гарантированное время реагирования (SLA) на инциденты, минимизирующее ущерб», — подытожила Дмитриева.

P-Reliz.ru - аггрегатор пресс-релизов

Другие пресс-релизы ООО "Газинформсервис"


Хакеры используют GitHub и Dropbox для целевых фишинговых атак

Северокорейские хакеры используют фишинговые атаки, направленные на конкретных пользователей, злоупотребляя сервисами GitHub и Dropbox. Александр Михайлов, руководитель GSOC компании «Газинформсервис», предупреждает, что злоумышленники рассылают фишинговые письма со ссылками на эти популярные платформы.


Боги не на стороне пользователей: шифровальщик Anubis эволюционировал в уничтожитель данных

Шифровальщик Anubis обновился, добавив функцию вайпера – полного уничтожения файлов жертвы. Даже выплата выкупа не гарантирует восстановление данных. Как отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», Anubis демонстрирует новый тренд: киберпреступники не ограничиваются одним типом атаки, а комбинируют их, дополняя шифрование полным уничтожением информации. Появление в даркнете конструкторов вредоносного ПО усиливает эту тенденцию.


Атака на Nobitex: угроза политически мотивированного хакинга растёт

В ночь на 18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась разрушительной кибератаке, за которой стоит группировка хакеров Predatory Sparrow. Руководитель GSOC компании «Газинформсервис» Александр Михайлов предупредил, что за подобными атаками не всегда стоят финансовые мотивы — данный случай демонстрирует политическую мотивацию.


Фотографии за 30 лет в никуда: киберэксперт о рисках облачного хранения данных

Интеграция OneDrive в Windows 10 и 11 привела к росту популярности Microsoft 365 и к увеличению количества пользователей, хранящих данные в облаке. Однако недавно достоянием общественности стал серьёзный случай потери данных: пользователь потерял фотографии за 30 лет из-за блокировки учётной записи OneDrive. Как объясняет Александр Катасонов, инженер-аналитик компании «Газинформсервис», полная зависимость от облачных сервисов, таких как OneDrive, чревата серьёзными рисками.


Киберэксперт Жданухин: обновления недостаточно для полной безопасности сервиса «Яндекс Телемост»

Критическая уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».


Опасная комбинация: социальная инженерия и технические уязвимости снова на вооружении хакеров

Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании. Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей.


От дипфейков до взлома IoT: какие прогнозы ИБ-экспертов сбываются в 2025 году

В прошлом году эксперты в рамках проекта «ИБ-пророк. Когда сходятся звёзды: прогнозы лидеров инфобеза»* предсказывали появление новых схем мошенничества, включая голосовые дипфейки, — и теперь эти прогнозы сбываются. Злоумышленники звонят россиянам под видом соцопросов, чтобы записать их голос и создать поддельные аудио. Но это лишь один из сценариев. Какие ещё угрозы предвидели специалисты?