Специалисты MalwareHunterTeam обнаружили вредоносную версию отладчика dnSpy, устанавливающую на компьютеры жертв скрытые майнеры и трояны.

https://twitter.com/malwrhunterteam/status/1479767752885874688

dnSpy обычно используется исследователями и разработчиками для модификации и декомпиляции программ. ПО также популярно среди специалистов по кибербезопасности, занимающихся анализом .NET-вредоносов. 

На момент написания дебаггер уже не поддерживается изначальными девелоперами, но его исходный код доступен на GitHub. Там же находится разрабатываемая версия, которую любой желающий может клонировать и модифицировать. Именно этим и воспользовались хакеры.

Вредоносная версия dnSpy может загружать на зараженное устройство скрытые майнеры, троян Quasar, а также софт, модифицирующий буфер обмена и ворующий криптовалюты. 

Киберпреступники успели даже создать специальный сайт для популяризации своей программы (на момент написания недоступен) и запустили рекламную кампанию в поисковых выдачах популярных систем: Bing, Yahoo, AOL, Yandex и Ask.com.

Пока что вредоносную версию dnSpy обнаруживают только несколько антивирусных движков.

Напомним, в конце декабря 2021 года неизвестные злоумышленники воспользовались уязвимостью в популяр­ной биб­лиоте­ке Log4j для получения контроля над серверами на базе AMD EPYC с целью майнинга криптовалюты Raptoreum.