Primijećena je “višestruka kampanja” koja zloupotrebljava legitimne usluge kao što su GitHub i FileZilla za isporuku niza malicioznog softvera za krađu i bankarskih trojanaca kao što su Atomic (aka AMOS), Vidar, Lumma (aka LummaC2) i Octo lažnim predstavljanjem vjerodostojnog softvera kao što je 1Password, Bartender 5 i Pixelmator Pro.
“Prisustvo više varijanti malicioznog softvera sugeriše široku strategiju ciljanja na više platformi, dok preklapajuća C2 infrastruktura upućuje na centralizovanu postavku komande – što može povećati efikasnost napada”, navodi se u izvještaju Insikt grupe Recorded Future.
Firma za sajber sigurnost, koja prati aktivnosti pod imenom GitCaught, rekla je da kampanja ne samo da naglašava zloupotrebu autentičnih internetskih usluga za orkestriranje sajber napada, već i oslanjanje na više varijanti malicioznog softvera koji ciljaju Android, macOS i Windows kako bi se povećao uspjeh.
Lanci napada podrazumijevaju korištenje lažnih profila i spremišta na GitHub-u, gdje se nalaze krivotvorene verzije dobro poznatog softvera s ciljem uzimanja osjetljivih podataka s narušenih uređaja. Veze ka ovim malicioznim fajlovima se zatim ugrađuju u nekoliko domena koji se obično distribuišu putem malicioznih kampanja i kampanja trovanja SEO .
Protivnik koji stoji iza operacije, za koji se sumnja da su hakeri iz Zajednice nezavisnih država (CIS) koji govore ruski, također je primijećen kako koristi FileZilla servere za upravljanje i isporuku malicioznog softvera.
Daljnjom analizom datoteka slike diska na GitHubu i na povezanoj infrastrukturi utvrđeno je da su napadi povezani s većom kampanjom dizajniranom da isporuči RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot i DarkComet RAT od najmanje avgusta 2023. godine.
Put zaraze Rhadamanthysom također je značajan po činjenici da se žrtve koje dođu na web stranice lažnih aplikacija preusmjeravaju na sadržaje koji se nalaze na Bitbucket i Dropbox, što upućuje na širu zloupotrebu legitimnih usluga.
Razvoj dolazi nakon što je Microsoft Threat Intelligence tim rekao da macOS backdoor kodnog naziva Activator ostaje “veoma aktivna prijetnja”, distribuisan putem datoteka sa slikama diska koji se imitiraju kao krekovane verzije legitimnog softvera i kradu podatke iz Exodus i Bitcoin-Qt aplikacija za novčanik.
“To podstiče korisnika da ga pusti da radi s povišenim privilegijama, isključuje macOS Gatekeeper i onemogućuje Centar za obavijesti”, rekao je tehnološki gigant . “Potom preuzima i pokreće više faza malicioznih Python skripti sa više domena za naredbu i kontrolu (C2) i dodaje te maliciozne skripte u mapu LaunchAgents radi postojanosti.”
Izvor: TheHackerNews
