Uma "campanha multifacetada" foi observada abusando de serviços legítimos como GitHub e FileZilla para entregar uma variedade de malware stealer e trojans bancários como Atomic (também conhecido como AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo, se passando por softwares confiáveis como 1Password, Bartender 5 e Pixelmator Pro.
"A presença de múltiplas variantes de malware sugere uma ampla estratégia de ataque cross-platform, enquanto a infraestrutura de C2 sobreposta aponta para uma configuração de comando centralizada — possivelmente aumentando a eficiência dos ataques", disse o Insikt Group da Recorded Future em um relatório.
A empresa de cibersegurança, que está monitorando a atividade sob o apelido GitCaught, disse que a campanha não apenas destaca o mau uso de serviços autênticos da internet para orquestrar ataques cibernéticos, mas também a dependência de múltiplas variantes de malware visando Android, macOS e Windows para aumentar a taxa de sucesso.
As cadeias de ataque envolvem o uso de perfis falsos e repositórios no GitHub, hospedando versões falsificadas de softwares bem conhecidos com o objetivo de extrair dados sensíveis de dispositivos comprometidos.
Os links para esses arquivos maliciosos são então embutidos em vários domínios que são tipicamente distribuídos via campanhas de malvertising e SEO poisoning.
O adversário por trás da operação, suspeito de ser atores de ameaças de fala russa da Comunidade dos Estados Independentes (CIS), também foi observado usando servidores FileZilla para gerenciamento e entrega de malware.
Análises adicionais dos arquivos de imagem de disco no GitHub e da infraestrutura associada determinaram que os ataques estão ligados a uma campanha maior projetada para entregar RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot e DarkComet RAT desde pelo menos agosto de 2023.
O caminho de infecção pelo Rhadamanthys também é notável pelo fato de que vítimas que acessam os sites de aplicativos falsificados são redirecionadas para payloads hospedados no Bitbucket e Dropbox, sugerindo um abuso mais amplo de serviços legítimos.
O desenvolvimento ocorre à medida que a equipe de Inteligência de Ameaças da Microsoft disse que o backdoor para macOS, codinome Activator, permanece uma "ameaça muito ativa", distribuída via arquivos de imagem de disco se passando por versões crackeadas de softwares legítimos e roubando dados de aplicações de carteira Exodus e Bitcoin-Qt.
"Ele solicita ao usuário para executá-lo com privilégios elevados, desativa o Gatekeeper do macOS e desliga o Centro de Notificação", disse a gigante da tecnologia.
Então, baixa e executa múltiplos estágios de scripts maliciosos Python de múltiplos domínios C2 e adiciona esses scripts maliciosos à pasta LaunchAgents para persistência.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...