«В данном случае киберзлодеи используют старую добрую технику фишинга из скоупа социальной инженерии, воспользовавшись ажиотажем вокруг новейших инструментов ИИ. Имитация легальных дистрибутивов ПО, красивая презентация инструмента и документация повышают доверие пользователей к репозиторию. Именно так вредоносный 'SoraAl.lnk' и попадает на эндпоинт жертвы. Разработчики часто загружают ПО с GitHub, что делает его идеальным инструментом для охвата технических специалистов», — объяснила Дмитриева.
Киберэксперт отметила, что вредоносное ПО, впервые обнаруженное 21 мая 2025 года, уже распространилось в нескольких странах. Его архитектура демонстрирует глубокое понимание механизмов безопасности Windows и обходит стандартные системы обнаружения.
«Первоначальное заражение начинается с ярлыка 'Sora Al.lnk', который пользователи скачивают, полагая, что это легитимный дистрибутив для запуска ИИ. При инициализации на устройстве этот файл размером 1,98 КБ запускает сложную последовательность команд PowerShell. На этапах разворачивания ВПО устанавливается соединение с репозиторием GitHub злоумышленника и загружается полезная нагрузка следующего этапа. Критичный момент, что вредонос использует легитимную инфраструктуру для предотвращения обнаружения. Атака проходит в несколько этапов, при этом каждый пакетный файл загружает и запускает последующие компоненты из репозитория GitHub 'ArimaTheH/a'. Вредоносная программа создаёт временные файлы со случайными именами, чтобы избежать обнаружения. Конечная полезная нагрузка устанавливает несколько пакетов, включая requests, websocket-client и cryptography для Python, предоставляющие инструменты для кражи данных и зашифрованной связи с инфраструктурой управления и контроля», — добавила киберэксперт.
«Архитектура вредоносного ПО демонстрирует глубокое понимание механизмов безопасности Windows и систем обнаружения конечных точек. Для защиты от фишингового сервиса SoraAI в GitHub рекомендуется заблокировать доступ к репозиторию ArimaTheH/a через межсетевые экраны и отключить выполнение PowerShell-скриптов по умолчанию. Обучите сотрудников проверять репутацию GitHub-репозиториев через VirusTotal перед загрузкой, ограничьте права пользователей с помощью политики минимальных привилегий и мониторьте создание временных файлов со случайными именами в системах. В то же время GSOC компании "Газинформсервис" обеспечивает предиктивную защиту именно от таких сложных угроз: специалисты помогут обнаружить отклонения в поведении пользователей и систем, вызванные кражей данных, даже если вредонос избежал сигнатурных детектов. При расследовании произошедших инцидентов вы получите единую картину угрозы — от точки входа до эксфильтрации данных — и гарантированное время реагирования (SLA) на инциденты, минимизирующее ущерб», — подытожила Дмитриева.
