Clicky

Ciberdelincuentes aprovechan GitHub y FileZilla para generar un cóctel de malware

peligro de malware

La vía de infección sugiere un abuso más amplio de servicios legítimos

Se ha observado una "campaña multifacética" que abusa de servicios legítimos como GitHub y FileZilla para entregar una variedad de malware ladrón y troyanos bancarios como Atomic (también conocido como AMOS), Vidar, Lumma (también conocido como LummaC2) y Octo, haciéndose pasar por software creíble como 1Password, Bartender 5 y Pixelmator Pro.

"La presencia de múltiples variantes de malware sugiere una amplia estrategia de ataque multiplataforma, mientras que la infraestructura C2 superpuesta apunta a una configuración de comando centralizada, posiblemente aumentando la eficiencia de los ataques", dijo en un informe Insikt Group de Recorded Future.

La firma de ciberseguridad, que está rastreando la actividad bajo el nombre de GitCaught, dijo que la campaña no solo destaca el uso indebido de servicios auténticos de Internet para orquestar ataques cibernéticos, sino también la dependencia de múltiples variantes de malware dirigidas a Android, macOS y Windows para aumentar la tasa de éxito.

Las cadenas de ataques implican el uso de falsos perfiles y repositorios en GitHub, que alojan versiones falsificadas de conocido software con el objetivo de obtener datos confidenciales de los dispositivos comprometidos. Los enlaces a estos archivos maliciosos se integran en varios dominios que normalmente se distribuyen mediante campañas de publicidad maliciosa y envenenamiento de SEO.

También se ha observado que el adversario detrás de la operación, que se sospecha que son actores de amenazas de habla rusa de la Comunidad de Estados Independientes (CEI), utiliza servidores FileZilla para la gestión y entrega de malware.

malware por FTP

Un análisis más detallado de los archivos de imagen de disco en GitHub y la infraestructura asociada ha determinado que los ataques están vinculados a una campaña más amplia diseñada para ofrecer RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot y DarkComet RAT desde al menos agosto de 2023.

La vía de infección de Rhadamanthys también se destaca por el hecho de que las víctimas que acceden a sitios web de aplicaciones falsas son redirigidas a cargas alojadas en Bitbucket y Dropbox, lo que sugiere un abuso más amplio de servicios legítimos.

El desarrollo se produce cuando el equipo de Microsoft Threat Intelligence dijo que la puerta trasera de macOS con nombre en código Activator sigue siendo una "amenaza muy activa", distribuida a través de archivos de imagen de disco que se hacen pasar por versiones descifradas de software legítimo y roban datos de las aplicaciones de billetera Exodus y Bitcoin-Qt.

"Le solicita al usuario que lo deje ejecutar con privilegios elevados, apaga el Gatekeeper de macOS y desactiva el Centro de notificaciones", dijo el gigante tecnológico. "Luego descarga y ejecuta múltiples etapas de scripts Python maliciosos desde múltiples dominios de comando y control (C2) y agrega estos scripts maliciosos a la carpeta LaunchAgents para su persistencia".

Jesus_Caceres