Threats

Perfil do GitHub usado para distribuir malware

Cibercriminosos estão a utilizar um perfil do GitHub para disseminar malware de roubo de informações como se fosse software legítimo

17/05/2024

Perfil do GitHub usado para distribuir malware

Nesta semana, a Recorded Future emitiu um aviso sobre uma campanha maliciosa que está a utilizar um perfil verdadeiro do GitHub para espalhar malware que permite o roubo de dados pessoais.

Cibercriminosos russos, que operam fora da Commonwealth of Independent States (CIS), têm distribuído os Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo, disfarçando-se de aplicações legítimos, como 1Password, Bartender 5 e a Pixelmator Pro, como parte da sua campanha.

De acordo com um relatório da Recorded Future, estas operações de malware compartilham a mesma infraestrutura command-and-control, indicando que existe um setup centralizado que foi usado nos ataques entre plataformas, provavelmente para aumentar a sua eficiência.

Os relatórios da indústria datados do início de 2024 demonstram que o malware AMOS tem sido espalhado através de sites fraudulentos, que imitam aplicações macOS verdadeiras, o que inclui um ficheiro de instalação do Slack, e através de projetos de jogos da Web3 falsos.

A Recorded Fututre identificou 12 websites com anúncios legítimos de softwares macOS, mas que direcionava as vítimas para um perfil de GitHub que distribuía malware AMOS. O perfil também distribui o malware Octo Android com o Trojan e variados infostealers da Windows.

O perfil do GitHub, com o username ‘painyurii33’, foi criado em janeiro deste ano e contém somente dois repositórios. Os investigadores da Recorded Future revelaram que existiram diversas mudanças feitas aos ficheiros existentes nestes repositórios em fevereiro e em março, mas que não existe qualquer tipo de atividade desde dia 7 de março.

A investigação também desvendou o uso de um servidor FTP com um protocolo de transferência de ficheiros FileZilla para controlo de malwares e distribuição de vírus Lumma e Vidar para roubo de informações.

A Recorded Future também descobriu diversas moradas de IP ligadas à campanha maliciosa, entre os quais quatro IP associados à infraestrutura C&C para o DarkComet RAT e um servidor FileZilla FTP utilizado para o distribuir.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.