Uma “campanha multi-facetada” foi observada abusando de serviços legítimos como GitHub e FileZilla para entregar uma variedade de malwares de roubo e trojans bancários como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo ao se passar por softwares confiáveis como 1Password, Bartender 5 e Pixelmator Pro.
“A presença de várias variantes de malware sugere uma ampla estratégia de focalização cruzada de plataformas, enquanto a infraestrutura C2 sobreposta aponta para uma configuração de comando centralizada – possivelmente aumentando a eficácia dos ataques”, afirmou o Grupo Insikt da Recorded Future em um relatório.
A empresa de cibersegurança, que está rastreando a atividade sob o nome GitCaught, disse que a campanha destaca não apenas o uso indevido de serviços autênticos da internet para orquestrar ataques cibernéticos, mas também a dependência de várias variantes de malware que atingem Android, macOS e Windows para aumentar a taxa de sucesso.
As cadeias de ataque envolvem o uso de perfis e repositórios falsos no GitHub, hospedando versões falsas de softwares conhecidos com o objetivo de obter dados confidenciais de dispositivos comprometidos. Os links para esses arquivos maliciosos são então incorporados em diversos domínios que geralmente são distribuídos por meio de campanhas de malvertising e envenenamento de SEO.
O adversário por trás da operação, suspeito de ser atores de ameaças de língua russa da Comunidade dos Estados Independentes (CEI), também foi observado utilizando servidores do FileZilla para gerenciamento e entrega de malwares.
Uma análise mais aprofundada dos arquivos de imagem de disco no GitHub e da infraestrutura associada determinou que os ataques estão ligados a uma campanha maior projetada para distribuir RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023.
O caminho de infecção do Rhadamanthys também é notável pelo fato de que as vítimas que acessam os sites falsos de aplicativos são redirecionadas para payloads hospedados no Bitbucket e Dropbox, o que sugere um abuso mais amplo de serviços legítimos.
Isso ocorre enquanto a equipe de inteligência de ameaças da Microsoft disse que o backdoor para macOS, codinome Activator, continua sendo uma “ameaça muito ativa” distribuída por meio de arquivos de imagem de disco que se passam por versões crackeadas de softwares legítimos com o objetivo de roubar dados de aplicativos de carteira Exodus e Bitcoin-Qt.
“Ele pede ao usuário para executar com privilégios elevados, desativa o Gatekeeper do macOS e desativa o Centro de Notificações,” disse a gigante da tecnologia. “Em seguida, faz o download e executa múltiplas etapas de scripts maliciosos em Python de diversos domínios de comando e controle (C2) e adiciona esses scripts maliciosos à pasta LaunchAgents para persistência.”