LastPass alerta sobre uma campanha ativa e ampla de roubo de informações que tem como alvo usuários de macOS da Apple.
A estratégia dos criminosos envolve repositórios falsos no GitHub, que distribuem programas infectados por malware, se passando por ferramentas legítimas.
De acordo com os pesquisadores Alex Cox, Mike Kosak e Stephanie Schneider, do time LastPass Threat Intelligence, Mitigation, and Escalation (TIME), esses repositórios fraudulentos redirecionam as vítimas para um repositório que instala o malware Atomic infostealer.
Além da LastPass, outras ferramentas populares estão sendo imitadas nessa campanha, como 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird e TweetDeck.
Todos os repositórios falsos têm como alvo sistemas macOS.
A tática utilizada envolve SEO poisoning — manipulação dos resultados dos motores de busca, como Bing e Google — para destacar links maliciosos que levam a repositórios no GitHub.
Nesses sites, o usuário é induzido a clicar no botão “Install LastPass on MacBook”, que o redireciona para uma página suspeita no GitHub.
Segundo a LastPass, essas páginas no GitHub são criadas por múltiplos usuários para dificultar a remoção rápida dos conteúdos maliciosos.
Na sequência, o usuário é levado a outro domínio que oferece instruções no estilo ClickFix, orientando a copiar e executar um comando no Terminal do macOS.
Essa ação instala o malware Atomic Stealer no sistema da vítima.
Campanhas semelhantes já haviam sido identificadas anteriormente, utilizando anúncios patrocinados maliciosos no Google para promover o Homebrew.
Por meio de um repositório falso no GitHub, um dropper em múltiplas etapas era distribuído; ele tinha a capacidade de detectar se estava rodando em uma máquina virtual ou em um ambiente de análise, decodificar e executar comandos para estabelecer conexão com um servidor remoto, como detalhado pelo pesquisador de segurança Dhiraj Mishra.
Nas últimas semanas, atores maliciosos também vêm explorando repositórios públicos no GitHub para hospedar payloads e distribuí-los via malware Amadey.
Além disso, utilizam commits pendentes (dangling commits) ligados a repositórios oficiais como forma de redirecionar usuários desavisados para programas maliciosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...