Uma “campanha multifacetada” foi observada abusando de serviços legítimos como o GitHub e o FileZilla para entregar uma série de malwares roubadores e trojans bancários como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo, fazendo-se passar por softwares credíveis como 1Password, Bartender 5 e Pixelmator Pro.

“A presença de múltiplas variantes de malware sugere uma ampla estratégia de targeting multiplataforma, enquanto a infraestrutura C2 sobreposta aponta para um setup de comando centralizado – possivelmente aumentando a eficiência dos ataques”, disse o Insikt Group da Recorded Future em um relatório.

A empresa de segurança cibernética, que está rastreando a atividade sob o codinome GitCaught, afirmou que a campanha não apenas destaca o uso indevido de serviços autênticos da internet para orquestrar ataques cibernéticos, mas também a dependência de várias variantes de malware direcionadas ao Android, macOS e Windows para aumentar a taxa de sucesso.

As cadeias de ataque envolvem o uso de perfis e repositórios falsos no GitHub, hospedando versões falsificadas de softwares conhecidos com o objetivo de coletar dados sensíveis de dispositivos comprometidos. Os links para esses arquivos maliciosos são então incorporados em vários domínios que geralmente são distribuídos por campanhas de malvertising e envenenamento de SEO.

O adversário por trás da operação, suspeito de ser atores de ameaças de língua russa dos Estados Independentes da Comunidade (CIS), também foi observado usando servidores do FileZilla para gerenciamento e entrega de malwares.

Uma análise mais aprofundada dos arquivos de imagem de disco no GitHub e da infraestrutura associada determinou que os ataques estão relacionados a uma campanha maior projetada para entregar RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023.

O caminho de infecção Rhadamanthys é também notável pelo fato de que as vítimas que acessam os sites de aplicativos falsos são redirecionadas para payloads hospedados no Bitbucket e Dropbox, sugerindo um abuso mais amplo de serviços legítimos.

O desenvolvimento ocorre no momento em que a equipe de Inteligência de Ameaças da Microsoft declarou que o backdoor macOS chamado Activator permanece uma “ameaça muito ativa”, distribuída por meio de arquivos de imagem de disco que se passam por versões crackeadas de softwares legítimos e roubam dados de aplicativos de carteira Exodus e Bitcoin-Qt.

“Ele pede que o usuário permita sua execução com privilégios elevados, desativa o Gatekeeper do macOS e desativa o Centro de Notificações”, afirmou a gigante da tecnologia. “Em seguida, ele baixa e inicia múltiplas etapas de scripts Python maliciosos de múltiplos domínios de comando e controle (C2) e adiciona esses scripts maliciosos à pasta LaunchAgents para persistência”.