Threats
Cibercriminosos estão a utilizar um perfil do GitHub para disseminar malware de roubo de informações como se fosse software legítimo
17/05/2024
Nesta semana, a Recorded Future emitiu um aviso sobre uma campanha maliciosa que está a utilizar um perfil verdadeiro do GitHub para espalhar malware que permite o roubo de dados pessoais. Cibercriminosos russos, que operam fora da Commonwealth of Independent States (CIS), têm distribuído os Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo, disfarçando-se de aplicações legítimos, como 1Password, Bartender 5 e a Pixelmator Pro, como parte da sua campanha. De acordo com um relatório da Recorded Future, estas operações de malware compartilham a mesma infraestrutura command-and-control, indicando que existe um setup centralizado que foi usado nos ataques entre plataformas, provavelmente para aumentar a sua eficiência. Os relatórios da indústria datados do início de 2024 demonstram que o malware AMOS tem sido espalhado através de sites fraudulentos, que imitam aplicações macOS verdadeiras, o que inclui um ficheiro de instalação do Slack, e através de projetos de jogos da Web3 falsos. A Recorded Fututre identificou 12 websites com anúncios legítimos de softwares macOS, mas que direcionava as vítimas para um perfil de GitHub que distribuía malware AMOS. O perfil também distribui o malware Octo Android com o Trojan e variados infostealers da Windows. O perfil do GitHub, com o username ‘painyurii33’, foi criado em janeiro deste ano e contém somente dois repositórios. Os investigadores da Recorded Future revelaram que existiram diversas mudanças feitas aos ficheiros existentes nestes repositórios em fevereiro e em março, mas que não existe qualquer tipo de atividade desde dia 7 de março. A investigação também desvendou o uso de um servidor FTP com um protocolo de transferência de ficheiros FileZilla para controlo de malwares e distribuição de vírus Lumma e Vidar para roubo de informações. A Recorded Future também descobriu diversas moradas de IP ligadas à campanha maliciosa, entre os quais quatro IP associados à infraestrutura C&C para o DarkComet RAT e um servidor FileZilla FTP utilizado para o distribuir. |