Se ha observado una «campaña multifacética» que abusa de servicios legítimos como GitHub y FileZilla para entregar una variedad de malware ladrón y troyanos bancarios como Atomic (también conocido como AMOS), Vidar, Lumma (también conocido como LummaC2) y Octo, haciéndose pasar por software creíble como 1Password, Bartender 5 y Pixelmator Pro.
«La presencia de múltiples variantes de malware sugiere una amplia estrategia de ataque multiplataforma, mientras que la infraestructura C2 superpuesta apunta a una configuración de comando centralizada, posiblemente aumentando la eficiencia de los ataques», dijo Insikt Group de Recorded Future en un informe.
La firma de ciberseguridad, que está rastreando la actividad bajo el nombre de GitCaught, dijo que la campaña no solo destaca el uso indebido de servicios de Internet auténticos para orquestar ataques cibernéticos, sino también la dependencia de múltiples variantes de malware dirigidas a Android, macOS y Windows para aumentar el éxito. tasa.
Las cadenas de ataques implican el uso de perfiles y repositorios falsos en GitHub, que alojan versiones falsificadas de software conocido con el objetivo de obtener datos confidenciales de los dispositivos comprometidos. Los enlaces a estos archivos maliciosos se incrustan en varios dominios que normalmente se distribuyen mediante campañas de publicidad maliciosa y envenenamiento de SEO
También se ha observado que el adversario detrás de la operación, que se sospecha que son actores de amenazas de habla rusa de la Comunidad de Estados Independientes (CEI), utiliza servidores FileZilla para la gestión y entrega de malware.
Un análisis más detallado de los archivos de imagen de disco en GitHub y la infraestructura asociada ha determinado que los ataques están vinculados a una campaña más amplia diseñada para ofrecer RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot y DarkComet RAT desde al menos agosto de 2023.
La vía de infección de Rhadamanthys también se destaca por el hecho de que las víctimas que acceden a sitios web de aplicaciones falsas son redirigidas a cargas alojadas en Bitbucket y Dropbox, lo que sugiere un abuso más amplio de servicios legítimos.
El desarrollo se produce cuando el equipo de Microsoft Threat Intelligence dijo que la puerta trasera de macOS con nombre en código Activator sigue siendo una «amenaza muy activa», distribuida a través de archivos de imagen de disco que se hacen pasar por versiones descifradas de software legítimo y roban datos de las aplicaciones de billetera Exodus y Bitcoin-Qt.
«Le solicita al usuario que lo permita ejecutarse con privilegios elevados, apaga el Gatekeeper de macOS y desactiva el Centro de notificaciones», dijo el gigante tecnológico . «Luego descarga y ejecuta múltiples etapas de scripts Python maliciosos desde múltiples dominios de comando y control (C2) y agrega estos scripts maliciosos a la carpeta LaunchAgents para su persistencia».
Fuente y redacción: thehackernews.com
