Los hackers están explotando GitHub y FileZilla para entregar malware

Los investigadores del Insikt Group de Recorded Future han descubierto una campaña extensa y multifacética que explota servicios de internet de confianza, como GitHub y FileZilla, para llevar a cabo ciberataques que roban información personal.

Esta campaña, atribuida a actores de amenazas de habla rusa probablemente ubicados en la Comunidad de Estados Independientes (CEI), abusa de un perfil legítimo de GitHub para suplantar software legítimo, como 1Password, Bartender 5 y Pixelmator Pro, para distribuir varios tipos de malware, como Atomic macOS Stealer (AMOS), Vidar, Lumma (también conocido como LummaC2) y Octo.

“Algunas familias de malware observadas en esta campaña, como Atomic macOS Stealer (AMOS), Vidar, Lumma y Octo, utilizan sistemas compartidos de comando y control (C2), mostrando una estrategia de ciberataque compleja y coordinada”, escribió el Insikt Group de Recorded Future en su informe.

“La presencia de múltiples variantes de malware sugiere una amplia estrategia de targeting multiplataforma, mientras que la infraestructura C2 superpuesta apunta a una configuración de comando centralizada, posiblemente aumentando la eficiencia de los ataques.”

La actividad, que se está rastreando bajo el apodo de ‘GitCaught’, no solo destaca el abuso de servicios de internet legítimos (LIS), sino también la dependencia de múltiples variantes en ataques multiplataforma para aumentar la tasa de éxito de la campaña.

Los actores de amenazas elaboraron hábilmente perfiles y repositorios falsos en GitHub, una plataforma ampliamente utilizada para el desarrollo colaborativo de software, presentando versiones falsas de software bien conocido que están diseñadas para infiltrarse en los sistemas de los usuarios y robar información sensible, como contraseñas, datos financieros y detalles de identificación personal.

Además de GitHub, también se ha observado que los actores de amenazas de habla rusa han utilizado infraestructura gratuita y basada en la web, como servidores de FileZilla, como un mecanismo para la entrega de malware, abusando de canales legítimos para diseminar varios payloads maliciosos a los dispositivos de las víctimas.

Durante una investigación del ladrón AMOS, el Insikt Group identificó doce dominios que suplantaban aplicaciones legítimas de macOS, como CleanShot X, 1Password y Bartender.

Los doce dominios identificados redirigieron a los usuarios a un perfil de GitHub perteneciente a un usuario llamado “papinyurii33” para descargar medios de instalación de macOS que conducían a la infección por el infostealer AMOS. La versión actual de AMOS es capaz de infectar tanto Macs basados en Intel como en ARM.

El perfil malicioso asociado con “papinyurii33” en GitHub fue creado el 16 de enero de 2024, y su última contribución observada fue el 7 de marzo de 2024. Contenía solo dos repositorios, o “repos”, llamados “2132” y “22”.

Tras el descubrimiento inicial de la cuenta de GitHub, los investigadores observaron que, además de AMOS, el perfil albergaba otros archivos bajo el repositorio “2132”, incluyendo un dropper para los ladrones Lumma y Vidar basados en Windows, así como un troyano bancario Octo para Android.

Sin embargo, no se envió malware al repositorio “22” desde principios de febrero de 2024.

Además, los investigadores observaron cómo el actor de amenazas ejecutó varios archivos de DocCloud para desplegar una serie de infostealers en los dispositivos de las víctimas. DocCloud.exe accedió a un servidor de protocolo de transferencia de archivos (FTP) de FileZilla en la dirección IP 193.149.189[.]199 utilizando credenciales codificadas (nombre de usuario: ins; contraseña: installer).

Después de establecer una conexión, un proceso hijo de DocCloud.exe accedió y descifró con RC4 un archivo .ENC, un formato de archivo estándar para almacenar datos cifrados, y combinó los datos descifrados con shellcode almacenado dentro de un script de Python. El payload resultante se ejecutó como un argumento para pythonw.exe.

Usando la Inteligencia de Red de Recorded Future, Insikt también identificó cuatro direcciones IP adicionales, todas probablemente relacionadas con la infraestructura de red del actor de amenazas. Estas nuevas direcciones IP revelaron infraestructura C2 para DARKCOMET RAT y un servidor FTP de FileZilla adicional responsable de desplegar DARKCOMET RAT.

Este proceso también se utilizó para llevar a cabo múltiples ejecuciones, resultando en la entrega de infostealers Lumma y Vidar.

Para reducir el riesgo de que el malware infostealer se propague a través de repositorios fraudulentos de GitHub, el Insikt Group recomienda varias estrategias de mitigación a las organizaciones para proteger mejor sus sistemas y datos, algunas de las cuales son:

• Implementación de controles de acceso y permisos estrictos para limitar quién puede descargar código de repositorios externos.

• Monitoreo continuo de los repositorios de GitHub en busca de signos de actividad fraudulenta o maliciosa.

• Hacer cumplir un proceso de revisión de código a nivel organizacional para todo el código obtenido de repositorios externos antes de integrarlo en entornos de producción.

• Verificar la autenticidad de las fuentes de descarga y mantener soluciones antivirus y antimalware actualizadas.

• Educar a empleados, desarrolladores y usuarios sobre los riesgos asociados con la descarga de código de fuentes no confiables, incluidos los repositorios de GitHub.

• Emplear herramientas de escaneo de código automatizadas, como GitGuardian, Checkmarx o GitHub Advanced Security, para detectar malware potencial o patrones sospechosos en el código.

Puedes consultar el informe completo del Insikt Group de Recorded Future para una comprensión detallada de esta campaña y perspectivas técnicas detalladas.