Uma “campanha multifacetada” foi observada abusando de serviços legítimos como GitHub e FileZilla para fornecer uma variedade de malwares ladrões e trojans bancários como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo, ao se passar por softwares credíveis como 1Password, Bartender 5 e Pixelmator Pro.
“A presença de várias variantes de malware sugere uma ampla estratégia de segmentação multiplataforma, enquanto a infraestrutura C2 sobreposta aponta para uma configuração de comando centralizada – possivelmente aumentando a eficiência dos ataques,” disse o Insikt Group da Recorded Future em um relatório.
A empresa de cibersegurança, que está rastreando a atividade sob o codinome GitCaught, afirmou que a campanha destaca não apenas o uso indevido de serviços autênticos da internet para orquestrar ataques cibernéticos, mas também a dependência de múltiplas variantes de malware direcionadas para Android, macOS e Windows para aumentar a taxa de sucesso.
As cadeias de ataque envolvem o uso de perfis e repositórios falsos no GitHub, hospedando versões falsas de softwares conhecidos com o objetivo de roubar dados sensíveis de dispositivos comprometidos. Os links para esses arquivos maliciosos são então incorporados em vários domínios que são normalmente distribuídos por meio de campanhas de malwares e envenenamento de SEO.
O adversário por trás da operação, suspeito de ser atores de ameaças de fala russa da Comunidade dos Estados Independentes (CEI), também foi observado usando servidores do FileZilla para gerenciamento e distribuição de malwares.
Uma análise mais aprofundada dos arquivos de imagem de disco no GitHub e da infraestrutura associada determinou que os ataques estão ligados a uma campanha maior projetada para fornecer RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023.
O caminho de infecção de Rhadamanthys também é notável pelo fato de que as vítimas que acessam os sites de aplicativos falsos são redirecionadas para payloads hospedados no Bitbucket e Dropbox, sugerindo um abuso mais amplo de serviços legítimos.
O desenvolvimento ocorre à medida que a equipe de Inteligência de Ameaças da Microsoft afirmou que o backdoor para macOS, codinome Activator, permanece uma “ameaça muito ativa” que é distribuída por meio de arquivos de imagem de disco se passando por versões crackeadas de softwares legítimos e com o objetivo de roubar dados de aplicativos de carteira Exodus e Bitcoin-Qt.
“Ele solicita que o usuário o deixe ser executado com privilégios elevados, desativa o Gatekeeper do macOS e desativa o Centro de Notificações”, disse a gigante da tecnologia. “Em seguida, ele faz o download e inicia múltiplas etapas de scripts Python maliciosos de múltiplos domínios de comando e controle (C2) e adiciona esses scripts maliciosos à pasta LaunchAgents para persistência.
