Agentes de ameaça estão aproveitando repositórios públicos do GitHub para hospedar payloads maliciosas e distribuí-las via Amadey como parte de uma campanha observada em abril de 2025.
"Os operadores de MaaS (malware-as-a-service) usaram contas falsas do GitHub para hospedar payloads úteis, ferramentas e plug-ins do Amadey, provavelmente numa tentativa de burlar o filtragem da web e por facilidade de uso", disseram os pesquisadores da Cisco Talos, Chris Neal e Craig Jackson, em um relatório publicado hoje.
A empresa de cibersegurança disse que as cadeias de ataque aproveitam um carregador de malware chamado Emmenhtal (conhecido também como PEAKLIGHT) para entregar Amadey, que, por sua vez, baixa vários payloads personalizados de repositórios públicos do GitHub operados pelos agentes de ameaça.
A atividade compartilha similaridades táticas com uma campanha de phishing por e-mail que usou iscas relacionadas a pagamento de faturas e cobrança para distribuir SmokeLoader via Emmenhtal em fevereiro de 2025 em ataques direcionados a entidades ucranianas.
Tanto o Emmenhtal quanto o Amadey funcionam como um downloader para payloads secundários como stealers de informação, embora este último também tenha sido observado entregando ransomware como LockBit 3.0 no passado.
Outra distinção crucial entre as duas famílias de malware é que, ao contrário do Emmenhtal, o Amadey pode coletar informações do sistema e pode ser expandido em termos de recursos com uma variedade de plug-ins DLL que habilitam uma funcionalidade específica, como roubo de credenciais ou captura de tela.
A análise da Cisco Talos da campanha de abril de 2025 revelou três contas do GitHub (Legendary99999, DFfe9ewf e Milidmdds) sendo usadas para hospedar plug-ins do Amadey, payloads secundários e outros scripts de ataque maliciosos, incluindo Lumma Stealer, RedLine Stealer e Rhadamanthys Stealer.
As contas desde então foram retiradas pelo GitHub.
Alguns dos arquivos JavaScript presentes nos repositórios do GitHub foram encontrados idênticos aos scripts Emmenthal empregados na campanha do SmokeLoader, sendo a principal diferença os payloads baixados.
Especificamente, os arquivos do carregador Emmenhtal nos repositórios servem como um vetor de entrega para Amadey, AsyncRAT e uma cópia legítima do PuTTY.exe.
Também descoberto nos repositórios do GitHub está um script Python que provavelmente representa uma evolução do Emmenhtal, incorporando um comando PowerShell embutido para baixar o Amadey de um endereço IP codificado.
Acredita-se que as contas do GitHub usadas para montar os payloads façam parte de uma operação de MaaS maior que abusa da plataforma de hospedagem de código da Microsoft para fins maliciosos.
A divulgação ocorre enquanto a Trellix detalhou uma campanha de phishing que propaga outro carregador de malware conhecido como SquidLoader em ataques cibernéticos direcionados contra instituições financeiras em Hong Kong.
Artefatos adicionais desenterrados pelo fornecedor de segurança sugerem que ataques relacionados podem estar em andamento em Cingapura e Austrália.
Cadeia de ataque do SquidLoader
O SquidLoader é uma ameaça formidável devido à diversa gama de técnicas anti-análise, anti-sandbox e anti-debug embutidas nele, permitindo que ele evite detecção e atrapalhe esforços de investigação.
Ele também pode estabelecer comunicação com um servidor remoto para enviar informações sobre o host infectado e injetar a próxima etapa do payload útil.
"O SquidLoader emprega uma cadeia de ataque culminando no desdobramento de um beacon Cobalt Strike para acesso remoto e controle", disse o pesquisador de segurança Charles Crofford.
"Suas técnicas intrincadas de anti-análise, anti-sandbox e anti-debug, aliadas às suas taxas escassas de detecção, representam uma ameaça significativa às organizações visadas."
Os achados também seguem a descoberta de uma ampla gama de campanhas de engenharia social que são projetadas para distribuir várias famílias de malware.
Ataques provavelmente realizados por um grupo motivado financeiramente referido como UNC5952 que exploram temas de faturas em e-mails para servir droppers maliciosos que levam ao desdobramento de um downloader chamado CHAINVERB que, por sua vez, entrega o software de acesso remoto ConnectWise ScreenConnect.
Ataques que empregam iscas relacionadas a impostos para enganar os destinatários a clicarem em um link que finalmente entrega um instalador ConnectWise ScreenConnect sob o pretexto de lançar um documento PDF.
Ataques que usam temas da Administração da Seguridade Social dos EUA (SSA) para colher credenciais de usuário ou instalar uma versão trojanizada do ConnectWise ScreenConnect, após o que as vítimas são instruídas a instalar e sincronizar o aplicativo Phone Link da Microsoft para possivelmente coletar mensagens de texto e códigos de autenticação de dois fatores enviados para o dispositivo móvel conectado.
Ataques que aproveitam um kit de phishing chamado Logokit para permitir a colheita de credenciais criando páginas de login semelhantes e hospedando-as na infraestrutura da Amazon Web Services (AWS) para burlar a detecção, enquanto simultaneamente integram a verificação de CAPTCHA do Cloudflare Turnstile para criar uma falsa sensação de segurança e legitimidade.
Ataques que fazem uso de outro kit de phishing personalizado baseado em Python Flask para facilitar o roubo de credenciais com esforço técnico mínimo.
Ataques codinomeados Scanception que empregam códigos QR em anexos de e-mail em PDF para direcionar os usuários para páginas de colheita de credenciais imitando o portal de login da Microsoft
Ataques que empregam a tática ClickFix para entregar Rhadamanthys Stealer e NetSupport RAT.
Ataques que utilizam ofertas de cloaking-as-a-service (CaaS) como Hoax Tech e JS Click Cloaker para ocultar sites de phishing e maliciosos de scanners de segurança e mostrá-los apenas às vítimas pretendidas como uma forma de passar despercebido.
Ataques que aproveitam HTML e JavaScript para criar e-mails maliciosos realistas que podem burlar a suspeita do usuário e as ferramentas tradicionais de detecção.
Ataques direcionados a provedores de serviços B2B que fazem uso de arquivos de imagem em Scalable Vector Graphics (SVG) em e-mails de phishing e que incorporam JavaScript ofuscado para facilitar redirecionamentos para infraestrutura controlada por atacantes usando a função window.location.href assim que são abertos em um navegador web
De acordo com dados compilados pela Cofense, o uso de códigos QR representou 57% das campanhas com Táticas, Técnicas e Procedimentos (TTPs) avançados em 2024.
Outros métodos notáveis incluem o uso de anexos de e-mail arquivados e protegidos por senha para contornar os gateways de e-mail seguros (SEG).
"Ao proteger com senha o arquivo, os agentes de ameaça impedem que os SEGs e outros métodos de escaneamento de seu conteúdo e de detectar o que é normalmente um arquivo claramente malicioso", disse o pesquisador da Cofense, Max Gannon.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...