Наблюдавана е „многостранна кампания“, при която се злоупотребява с легитимни услуги като GitHub и FileZilla, за да се достави набор от зловреден софтуер за кражби и банкови троянци като Atomic (известен още като AMOS), Vidar, Lumma (известен още като LummaC2) и Octo, като се представя за надежден софтуер като 1Password, Bartender 5 и Pixelmator Pro.
„Наличието на множество варианти на зловреден софтуер предполага широка междуплатформена стратегия за насочване, докато припокриващата се C2 инфраструктура сочи централизирана командна структура – вероятно увеличаваща ефективността на атаките“, се казва в доклад на Insikt Group на Recorded Future.
Фирмата за киберсигурност, която проследява дейността под псевдонима GitCaught, заяви, че кампанията не само подчертава злоупотребата с автентични интернет услуги за организиране на кибератаки, но и разчитането на множество варианти на злонамерен софтуер, насочени към Android, macOS и Windows, за да се увеличи успеваемостта.
Веригите за атаки включват използването на фалшиви профили и хранилища в GitHub, в които се хостват фалшиви версии на добре познат софтуер с цел получаване на чувствителни данни от компрометирани устройства. След това връзките към тези злонамерени файлове се вграждат в няколко домейна, които обикновено се разпространяват чрез кампании за злонамерена реклама и SEO отравяне.
Противникът зад операцията, за когото се предполага, че е рускоговорящ от Общността на независимите държави (ОНД), също е наблюдаван да използва сървъри на FileZilla за управление и доставка на зловреден софтуер.
По-нататъшният анализ на файловете с дискови изображения в GitHub и свързаната с тях инфраструктура установи, че атаките са свързани с по-голяма кампания, чиято цел е да достави RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot и DarkComet RAT поне от август 2023 г.
Пътят на заразяване с Rhadamanthys се отличава и с това, че жертвите, които попадат на уебсайтовете с фалшиви приложения, се пренасочват към платени товари, хоствани в Bitbucket и Dropbox, което предполага по-широка злоупотреба с легитимни услуги.
Разработката идва в момент, когато екипът на Microsoft Threat Intelligence заяви, че задната врата за macOS с кодово име Activator остава „много активна заплаха“, разпространявана чрез файлове с дискови изображения, представящи се за кракнати версии на легитимен софтуер и крадящи данни от приложенията Exodus и Bitcoin-Qt портфейл.
„Тя подканва потребителя да ѝ позволи да работи с повишени привилегии, изключва macOS Gatekeeper и деактивира Центъра за известия“, заяви технологичният гигант. „След това изтегля и стартира множество етапи на злонамерени Python скриптове от множество домейни за управление и контрол (C2) и добавя тези злонамерени скриптове в папката LaunchAgents за запазване.“
