Uma campanha “multifacetada” tem sido observada abusando de serviços legítimos como GitHub e FileZilla para oferecer uma série de malwares de roubo e trojans bancários como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo, fazendo-se passar por softwares confiáveis como 1Password, Bartender 5 e Pixelmator Pro.
“A presença de várias variantes de malware sugere uma estratégia de segmentação abrangente em várias plataformas, enquanto a infraestrutura C2 sobreposta aponta para uma configuração de comando centralizada – possivelmente aumentando a eficiência dos ataques,” disse o Grupo Insikt da Recorded Future em um relatório.
A empresa de cibersegurança, que está rastreando a atividade sob o nome GitCaught, afirmou que a campanha destaca não apenas o uso indevido de serviços de internet autênticos para orquestrar ataques cibernéticos, mas também a dependência de várias variantes de malware visando Android, macOS e Windows para aumentar a taxa de sucesso.
As cadeias de ataque envolvem o uso de perfis e repositórios falsos no GitHub, hospedando versões falsas de softwares conhecidos com o objetivo de obter dados sigilosos de dispositivos comprometidos. Os links para esses arquivos maliciosos são então incorporados em vários domínios que geralmente são distribuídos por meio de campanhas de malvertising e envenenamento de SEO.
O adversário por trás da operação, suspeito de ser atores ameaçadores da Comunidade dos Estados Independentes (CEI) de língua russa, também foi observado usando servidores FileZilla para gerenciamento e entrega de malware.
Uma análise mais aprofundada dos arquivos de imagem de disco no GitHub e da infraestrutura associada determinou que os ataques estão ligados a uma campanha maior projetada para entregar RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023.
O caminho de infecção do Rhadamanthys também é notável pelo fato de que as vítimas que acessam os sites de aplicativos falsos são redirecionadas para cargas úteis hospedadas no Bitbucket e Dropbox, sugerindo um abuso mais amplo de serviços legítimos.
O desenvolvimento ocorre à medida que a equipe de Inteligência de Ameaças da Microsoft disse que o backdoor do macOS chamado Activator ainda é uma ameaça “muito ativa” que é distribuída por meio de arquivos de imagem de disco falsificados de versões rachadas de softwares legítimos com o objetivo de roubar dados de aplicativos de carteira Exodus e Bitcoin-Qt.
