Une « campagne à multiples facettes » a été observée abusant de services légitimes comme GitHub et FileZilla pour diffuser une gamme de logiciels malveillants et de chevaux de Troie bancaires tels que Atomic (alias AMOS), Vidar, Lumma (alias LummaC2) et Octo en se faisant passer pour des logiciels crédibles comme 1Password, Barman 5 et Pixelmator Pro.

“La présence de plusieurs variantes de logiciels malveillants suggère une vaste stratégie de ciblage multiplateforme, tandis que l’infrastructure C2 qui se chevauche indique une configuration de commandes centralisée, ce qui pourrait augmenter l’efficacité des attaques”, a déclaré le groupe Insikt de Recorded Future dans un rapport.

La société de cybersécurité, qui suit l’activité sous le nom de GitCaught, a déclaré que la campagne mettait non seulement en évidence l’utilisation abusive de services Internet authentiques pour orchestrer des cyberattaques, mais également le recours à de multiples variantes de logiciels malveillants ciblant Android, macOS et Windows pour accroître le succès. taux.

Les chaînes d’attaque impliquent l’utilisation de faux profils et référentiels sur GitHub, hébergeant des versions contrefaites de logiciels bien connus dans le but de récupérer des données sensibles provenant d’appareils compromis. Les liens vers ces fichiers malveillants sont ensuite intégrés dans plusieurs domaines qui sont généralement distribués via des campagnes de publicité malveillante et d’empoisonnement SEO .

L’adversaire derrière l’opération, soupçonné d’être des acteurs menaçants russophones de la Communauté des États indépendants (CEI), a également été observé en train d’utiliser les serveurs FileZilla pour la gestion et la diffusion de logiciels malveillants.

Une analyse plus approfondie des fichiers d’image disque sur GitHub et de l’infrastructure associée a déterminé que les attaques sont liées à une campagne plus vaste conçue pour diffuser RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot et DarkComet RAT depuis au moins août 2023.

La voie d’infection par Rhadamanthys se distingue également par le fait que les victimes qui atterrissent sur les faux sites Web d’applications sont redirigées vers des charges utiles hébergées sur Bitbucket et Dropbox, suggérant un abus plus large de services légitimes.

Ce développement intervient alors que l’équipe Microsoft Threat Intelligence a déclaré que la porte dérobée macOS, nommée Activator, reste une “menace très active”, distribuée via des fichiers d’image disque usurpant l’identité de versions crackées de logiciels légitimes et volant des données des applications de portefeuille Exodus et Bitcoin-Qt.

“Il invite l’utilisateur à le laisser fonctionner avec des privilèges élevés, désactive macOS Gatekeeper et désactive le centre de notifications”, a déclaré le géant de la technologie . “Il télécharge et lance ensuite plusieurs étapes de scripts Python malveillants à partir de plusieurs domaines de commande et de contrôle (C2) et ajoute ces scripts malveillants au dossier LaunchAgents pour assurer leur persistance.”