Uma “campanha multifacetada” tem sido observada abusando de serviços legítimos como GitHub e FileZilla para entregar uma variedade de malwares roubadores e cavalos de Troia bancários, como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo, se passando por software credível como 1Password, Bartender 5 e Pixelmator Pro.

“A presença de múltiplas variantes de malware sugere uma estratégia ampla de direcionamento de várias plataformas, enquanto a sobreposição de infraestrutura C2 aponta para uma configuração de comando centralizada – possivelmente aumentando a eficiência dos ataques,” relatou o Insikt Group do Recorded Future em um relatório.

A empresa de cibersegurança, que está acompanhando a atividade sob o codinome GitCaught, afirmou que a campanha destaca não apenas o uso indevido de serviços autênticos da internet para orquestrar ataques cibernéticos, mas também a dependência de múltiplas variantes de malware visando Android, macOS e Windows para aumentar a taxa de sucesso.

As cadeias de ataque envolvem o uso de perfis e repositórios falsos no GitHub, hospedando versões falsas de software conhecido com o objetivo de roubar dados sensíveis de dispositivos comprometidos. Os links para esses arquivos maliciosos são então incorporados em vários domínios que são tipicamente distribuídos através de campanhas de malvertising e envenenamento por SEO.

O adversário por trás da operação, suspeito de ser atores ameaçadores de língua russa dos Estados Independentes da Comunidade (CIS), também foi observado utilizando servidores FileZilla para gerenciamento e entrega de malware.

A análise adicional dos arquivos de imagem de disco no GitHub e da infraestrutura associada determinou que os ataques estão relacionados a uma campanha maior projetada para entregar RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023.

O caminho de infecção Rhadamanthys também é notável pelo fato de que as vítimas que acessam os sites de aplicativos falsos são redirecionadas para payloads hospedados no Bitbucket e Dropbox, sugerindo um abuso mais amplo de serviços legítimos.

Essa descoberta surge à medida que a equipe de Inteligência de Ameaças da Microsoft afirmou que o backdoor macOS, codinome Activator, continua sendo uma “ameaça muito ativa”, distribuída através de arquivos de imagem de disco se passando por versões crackeadas de software legítimo e roubando dados de aplicativos de carteira Exodus e Bitcoin-Qt.

“Ele pede ao usuário para permitir sua execução com privilégios elevados, desativa o Gatekeeper do macOS e desativa o Centro de Notificações,” disse a gigante da tecnologia. “Em seguida, ele baixa e lança múltiplos estágios de scripts Python maliciosos de vários domínios de comando e controle (C2) e adiciona esses scripts maliciosos à pasta LaunchAgents para persistência”.