Foi observada uma “campanha multifacetada” abusando de serviços legítimos como GitHub e FileZilla para entregar uma série de malwares ladrões e trojans bancários como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo, personificando software program confiável como 1Password, Bartender 5 e Pixelmator Professional.
“A presença de múltiplas variantes de malware sugere uma ampla estratégia de segmentação entre plataformas, enquanto a infra-estrutura C2 sobreposta aponta para uma configuração de comando centralizada – possivelmente aumentando a eficiência dos ataques”, disse o Insikt Group da Recorded Future em um relatório.
A empresa de segurança cibernética, que monitora a atividade sob o nome GitCaught, disse que a campanha não apenas destaca o uso indevido de serviços autênticos da Web para orquestrar ataques cibernéticos, mas também a dependência de múltiplas variantes de malware direcionadas ao Android, macOS e Home windows para aumentar o sucesso. avaliar.
As cadeias de ataques envolvem o uso de perfis e repositórios falsos no GitHub, hospedando versões falsificadas de softwares conhecidos com o objetivo de extrair dados confidenciais de dispositivos comprometidos. Os hyperlinks para esses arquivos maliciosos são então incorporados em vários domínios que normalmente são distribuídos por meio de campanhas de malvertising e envenenamento de search engine optimisation.
O adversário por trás da operação, suspeito de serem atores de ameaças de língua russa da Comunidade de Estados Independentes (CEI), também foi observado usando servidores FileZilla para gerenciamento e entrega de malware.
Uma análise mais aprofundada dos arquivos de imagem de disco no GitHub e da infraestrutura associada determinou que os ataques estão vinculados a uma campanha maior projetada para entregar RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023.
A by way of de infecção do Rhadamanthys também é notável pelo fato de que as vítimas que acessam websites de aplicativos falsos são redirecionadas para cargas hospedadas no Bitbucket e no Dropbox, sugerindo um abuso mais amplo de serviços legítimos.
O desenvolvimento ocorre no momento em que a equipe de Inteligência de Ameaças da Microsoft disse que o backdoor do macOS, codinome Activator, continua sendo uma “ameaça muito ativa”, distribuída por meio de arquivos de imagem de disco, representando versões crackeadas de software program legítimo e roubando dados de aplicativos de carteira Exodus e Bitcoin-Qt.
“Ele solicita ao usuário que o deixe rodar com privilégios elevados, desativa o macOS Gatekeeper e desativa a Central de Notificações”, disse a gigante da tecnologia. “Em seguida, ele baixa e inicia vários estágios de scripts Python maliciosos de vários domínios de comando e controle (C2) e adiciona esses scripts maliciosos à pasta LaunchAgents para persistência.”
