Cyberprzestępcy wykorzystują GitHub i FileZilla
Grupa Insikt z Recorded Future, zajmująca się cyberbezpieczeństwem, zidentyfikowała tę złożoną kampanię jako „wieloaspektową”. Wykorzystywane są w niej różne warianty złośliwego oprogramowania, w tym trojany bankowe i programy kradnące dane, takie jak Atomic (AMOS), Vidar, Lumma (LummaC2) i Octo.
Eksperci ds. cyberbezpieczeństwa wskazują, że obecność wielu rodzajów złośliwego oprogramowania sugeruje szeroką strategię ataków na różne platformy, w tym systemy Android, macOS i Windows. Centralizacja infrastruktury dowodzenia (C2) może zwiększać skuteczność tych ataków.
Cyberprzestępcy tworzą fałszywe profile i repozytoria na GitHubie, gdzie umieszczają podrobione wersje znanego oprogramowania. Następnie linki do tych złośliwych plików są umieszczane na różnych stronach internetowych, często za pośrednictwem złośliwych reklam czy fałszywego pozycjonowania. Nieświadome ofiary pobierają fałszywe aplikacje, nie zdając sobie sprawy, że instalują złośliwe oprogramowanie.
Złośliwe oprogramowanie rozsyłane na repozytoriach
GitCaught, firma śledząca działania cyberprzestępców, zauważyła, że kampania ta podkreśla nie tylko niewłaściwe wykorzystywanie legalnych usług internetowych, ale także zależność od różnych wariantów złośliwego oprogramowania w celu zwiększenia skuteczności cyberataków. Oszuści wykorzystują również serwery FileZilla do zarządzania i dostarczania swojego złośliwego oprogramowania.
Cyberprzestępców podejrzewa się o pochodzenie z obszaru Wspólnoty Niepodległych Państw (czyli organizacji zrzeszającej część państw byłego ZSRR), a dodatkowo korzystają z serwerów takich jak Bitbucket i Dropbox do przechowywania i dystrybucji złośliwego oprogramowania, takiego jak – RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot i DarkComet RAT.
Ścieżka infekcji Rhadamanthys jest szczególnie interesująca. Ofiary, które odwiedzają strony z fałszywymi aplikacjami, są przekierowywane do ładunków hostowanych w Bitbucket i Dropbox. To szerokie wykorzystanie legalnych usług do przechowywania złośliwego oprogramowania pokazuje, jak bardzo cyberprzestępcy adaptują się do nowych metod cyberataku.
Cyberataki na macOS
Nie tylko użytkownicy systemów Windows i Android są narażeni na ataki. Zespół Microsoft Threat Intelligence zidentyfikował aktywne zagrożenie dla systemu macOS, znane jako Activator. Ten backdoor jest rozpowszechniany za pomocą plików obrazów dysków, które podszywają się pod crackowane wersje legalnego oprogramowania.
Activator kradnie dane z aplikacji portfelowych Exodus i Bitcoin-Qt. Działa, prosząc użytkownika o nadanie mu podwyższonych uprawnień, wyłącza funkcję macOS Gatekeeper oraz Centrum powiadomień, a następnie pobiera i uruchamia złośliwe skrypty Pythona z wielu domen dowodzenia (C2).
Ochrona przed tego typu atakami wymaga zachowania szczególnej ostrożności podczas pobierania i instalowania oprogramowania. Użytkownicy powinni zawsze sprawdzać autentyczność źródeł, z których pobierają programy, unikać pobierania oprogramowania z podejrzanych stron oraz korzystać z zaufanych antywirusów i zapór ogniowych. Regularne aktualizacje systemu i oprogramowania również mogą pomóc w ochronie przed najnowszymi zagrożeniami.
