Er is een ‘veelzijdige campagne’ waargenomen waarbij legitieme diensten zoals GitHub en FileZilla worden misbruikt om een reeks stealer-malware en banktrojans zoals Atomic (ook bekend als AMOS), Vidar, Lumma (ook bekend als LummaC2) en Octo te leveren door zich voor te doen als geloofwaardige software zoals 1Password, Bartender 5 en Pixelmator Pro.
“De aanwezigheid van meerdere malwarevarianten duidt op een brede platformonafhankelijke targetingstrategie, terwijl de overlappende C2-infrastructuur wijst op een gecentraliseerde opdrachtopstelling, waardoor de efficiëntie van de aanvallen mogelijk wordt vergroot”, aldus Insikt Group van Recorded Future in een rapport.
Het cyberbeveiligingsbedrijf, dat de activiteiten volgt onder de naam GitCaught, zei dat de campagne niet alleen het misbruik van authentieke internetdiensten benadrukt om cyberaanvallen te orkestreren, maar ook de afhankelijkheid van meerdere malwarevarianten gericht op Android, macOS en Windows om het succes te vergroten. tarief.
Aanvalsketens omvatten het gebruik van nepprofielen en opslagplaatsen op GitHub, waar valse versies van bekende software worden gehost met als doel gevoelige gegevens van gecompromitteerde apparaten te ontfutselen. De links naar deze kwaadaardige bestanden worden vervolgens ingebed in verschillende domeinen die doorgaans worden verspreid via malvertising- en SEO-vergiftigingscampagnes.
Er is ook waargenomen dat de tegenstander achter de operatie, die vermoedelijk Russisch sprekende dreigingsactoren uit het Gemenebest van Onafhankelijke Staten (GOS) is, FileZilla-servers gebruikt voor het beheer en de levering van malware.
Verdere analyse van de schijfkopiebestanden op GitHub en de bijbehorende infrastructuur heeft uitgewezen dat de aanvallen verband houden met een grotere campagne die is ontworpen om RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot en DarkComet RAT te leveren sinds ten minste augustus 2023.
Het Rhadamanthys-besmettingstraject valt ook op door het feit dat slachtoffers die op de valse applicatiewebsites terechtkomen, worden doorgestuurd naar payloads die worden gehost op Bitbucket en Dropbox, wat wijst op een breder misbruik van legitieme diensten.
De ontwikkeling komt nadat het Microsoft Threat Intelligence-team zei dat de macOS-achterdeur met de codenaam Activator een “zeer actieve bedreiging” blijft, verspreid via schijfkopiebestanden die zich voordoen als gekraakte versies van legitieme software en gegevens stelen van Exodus- en Bitcoin-Qt-portemonnee-applicaties.
“Het vraagt de gebruiker om het met verhoogde rechten te laten werken, schakelt de macOS Gatekeeper uit en schakelt het Berichtencentrum uit”, zei de technologiegigant. “Vervolgens downloadt en start het meerdere stadia van kwaadaardige Python-scripts van meerdere command-and-control (C2) domeinen en voegt deze kwaadaardige scripts toe aan de map LaunchAgents voor persistentie.”
