Uma “campanha multifacetada” foi observada abusando de serviços legítimos como GitHub e FileZilla para distribuir uma série de malware e cavalos de Troia bancários como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo, ao se passar por softwares credíveis como 1Password, Bartender 5 e Pixelmator Pro. A presença de múltiplas variantes de malware sugere uma estratégia ampla de segmentação de várias plataformas, enquanto a infraestrutura sobreposta de C2 aponta para uma configuração de comando centralizada – possivelmente aumentando a eficiência dos ataques”, afirmou o grupo Insikt da Recorded Future em um relatório, destacando a utilização de serviços autênticos da internet para coordenar ataques cibernéticos e a dependência de múltiplas variantes de malware para Android, macOS e Windows, com o intuito de aumentar a taxa de sucesso. As cadeias de ataque envolvem o uso de perfis e repositórios falsos no GitHub, hospedando versões falsas de softwares conhecidos com o objetivo de obter dados sensíveis de dispositivos comprometidos. Os links para esses arquivos maliciosos são então incorporados em vários domínios, geralmente distribuídos por meio de campanhas de malvertising e envenenamento de SEO. O adversário por trás da operação, suspeito de ser atores de ameaças de língua russa provenientes das Comunidades dos Estados Independentes (CEI), também foi observado usando servidores FileZilla para gerenciamento e distribuição de malware. Além disso, a análise aprofundada dos arquivos de imagem de disco no GitHub e a infraestrutura associada determinaram que os ataques estão ligados a uma campanha maior projetada para distribuir RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023. O caminho de infecção do Rhadamanthys também é notável pelo fato de que as vítimas que acessam os sites falsos do aplicativo são redirecionadas para payloads hospedados no Bitbuket e Dropbox, sugerindo um abuso mais amplo de serviços legítimos. Essa evolução ocorre no momento em que a equipe de Inteligência de Ameaças da Microsoft afirmou que o backdoor macOS denominado Activator continua sendo uma “ameaça muito ativa” distribuída por meio de arquivos de imagem de disco se passando por versões crackeadas de softwares legítimos, a fim de roubar dados das aplicações de carteira Exodus e Bitcoin-Qt. “Ele solicita ao usuário que o execute com privilégios elevados, desliga o Gatekeeper do macOS e desativa o Centro de Notificações”, disse a gigante da tecnologia. “Em seguida, ele faz o download e inicia múltiplos estágios de scripts maliciosos em Python de múltiplos domínios de comando e controle (C2) e adiciona esses scripts maliciosos à pasta LaunchAgents para persistência.”