Похоже, у хакеров теперь тоже появился свой опенсорс — при участии Microsoft.

Кто такой PureCoder и как прозрачность стала «дымовой завесой»

Разработчики удалённого трояна PureHVNC вышли на новый уровень сокрытия, используя GitHub для публикации исходников и модулей своего вредоносного набора. Команда Check Point Research пришла к такому выводу после расследования восьмидневной кампании, в которой применялась социальная инженерия под названием ClickFix.

Аналитики обнаружили, что серверы управления PureHVNC направляли заражённые машины на ссылки на GitHub — там размещались плагины и дополнительные компоненты семейства Pure. Связь между этими репозиториями и профилями разработчика под псевдонимом PureCoder подтвердилась в ходе анализа. Исследование позволило восстановить не только структуру вредоносного ПО, но и особенности его разработки, а также проследить географические привязки автора.

Атака стартовала с фишинговой рассылки: жертв приглашали на поддельный сайт с предложениями о работе. На страницах такого ресурса запускался PowerShell-скрипт, созданный на Rust, который загружал PureHVNC с идентификаторами «2a» и «amazon3». За восемь дней злоумышленники применили несколько вредоносных JavaScript-скриптов, дважды развернули PureHVNC, закрепили его в системе через планировщик задач и подключили фреймворк Sliver для централизованного управления сетью.

Троян обеспечивал постоянный доступ к системам, передавая по зашифрованным SSL-каналам сведения о состоянии машины — информацию об антивирусах, правах пользователя, версии ОС и времени простоя. Для маскировки трафика данные сжимались и разбивались на сегменты по 16 КБ. В процессе расследования исследователям удалось восстановить полный набор команд PureHVNC, формат его конфигурационных файлов и способ подключения плагинов. Выяснилось, что расширения сохраняются в реестре в сжатом виде и распаковываются в момент запуска.

В комплект поставки входит инструмент PureCrypter, который даёт клиентам возможность выбирать способы шифрования, методы устойчивого закрепления и техники внедрения кода. Такая модульная архитектура позволяет злоумышленникам быстро адаптировать вредонос под разные цели и сценарии атак.

Ключевое открытие Check Point — прямая связь аккаунтов testdemo345 и DFfe9ewf/PURE-CODER-1 на GitHub с деятельностью PureCoder. В этих репозиториях были найдены исходники расширений TwitchBot и YoutubeBot, предназначенных для накрутки подписчиков, лайков и рекламных кликов. Метаданные коммитов содержат отметку часового пояса UTC+03:00, что может указывать на расположение автора в Восточной Европе или Западной Азии. Кроме того, исследователи отметили, что PureHVNC использует методы обхода встроенных защит Windows: в памяти отключается AMSI-проверка, а также перехватываются вызовы загрузки библиотек для подмены поведения процессов.

Финальный этап заражения включает выполнение расшифрованного шеллкода в выделной области памяти — это усложняет обнаружение и анализ присутствия программы. В то же время применение GitHub как платформы для хранения модулей делает инфраструктуру злоумышленников удобной для обновлений, но оставляет «следы», которые позволяют аналитикам отслеживать появление новых репозиториев и шаблоны коммитов.

Check Point также обнаружила административную панель PureRAT с поддержкой нескольких языков, включая английский, русский и китайский, что указывает на ориентацию проекта на международный рынок киберпреступных услуг.

Сочетание доступности GitHub, зашифрованных каналов связи и встроенных средств администрирования превращает PureHVNC в серьёзную угрозу. Эксперты рекомендуют организациям внимательно контролировать сетевую активность — в частности обращения к API GitHub и скачивания репозиториев с рабочих станций. Признаками компрометации могут служить задания в планировщике, загружающие внешние ресурсы, вместе с атипичными SSL-соединениями на нестандартных портах. Полезно также отслеживать появления новых версий PureCrypter и PureLogs, которые часто сопровождают кампании с использованием PureRAT.

В будущем злоумышленники могут перейти с GitHub на другие платформы для совместной разработки или встроить загрузку модулей непосредственно в сборщик. Для эффективной защиты необходимы гибридные методы обнаружения — сочетание сигнатурных и поведенческих механизмов, ориентированных на модели разработки и эксплуатации, применяемые авторами таких инструментов. Понимание их привычек и тактик разработки даёт командам информационной безопасности важное преимущество в противостоянии быстро эволюционирующим семействам угроз.