Les hackers exploitent GitHub et FileZilla pour livrer des malwares

Les chercheurs du groupe Insikt de Recorded Future ont découvert une campagne extensive et multifacette qui exploite des services Internet de confiance, tels que GitHub et FileZilla, pour mener des cyberattaques visant à voler des informations personnelles.

Cette campagne, attribuée à des acteurs de menace russophones probablement situés dans la Communauté des États indépendants (CEI), abuse d’un profil GitHub légitime pour usurper des logiciels légitimes, tels que 1Password, Bartender 5 et Pixelmator Pro, afin de distribuer divers types de malwares, tels que Atomic macOS Stealer (AMOS), Vidar, Lumma (alias LummaC2) et Octo.

« Certaines familles de malwares observées dans cette campagne, comme Atomic macOS Stealer (AMOS), Vidar, Lumma et Octo, utilisent des systèmes de commande et de contrôle (C2) partagés, montrant une stratégie de cyberattaque complexe et coordonnée », a écrit le groupe Insikt de Recorded Future dans son rapport.

« La présence de plusieurs variantes de malwares suggère une large stratégie de ciblage multiplateforme, tandis que l’infrastructure C2 qui se chevauche pointe vers une configuration de commande centralisée — augmentant possiblement l’efficacité des attaques. »

L’activité, qui est suivie sous le surnom de ‘GitCaught’, met non seulement en lumière l’abus de services Internet légitimes (LIS), mais aussi la dépendance à plusieurs variantes dans les attaques multiplateformes pour augmenter le taux de réussite de la campagne.

Les acteurs de menace ont habilement créé de faux profils et dépôts sur GitHub, une plateforme largement utilisée pour le développement collaboratif de logiciels, présentant des versions contrefaites de logiciels bien connus conçus pour infiltrer les systèmes des utilisateurs et voler des informations sensibles, telles que des mots de passe, des données financières et des détails d’identification personnelle.

En plus de GitHub, les acteurs de menace russophones ont également été observés utilisant une infrastructure gratuite et basée sur le web, comme des serveurs FileZilla, comme mécanisme de livraison de malwares, abusant de canaux légitimes pour diffuser divers chargements malveillants vers les appareils des victimes.

Lors d’une enquête sur le voleur AMOS, le groupe Insikt a identifié douze domaines qui usurpaient des applications macOS légitimes, telles que CleanShot X, 1Password et Bartender.

Tous les douze domaines identifiés redirigeaient les utilisateurs vers un profil GitHub appartenant à un utilisateur nommé « papinyurii33 » pour télécharger des médias d’installation macOS menant à l’infection par le voleur d’informations AMOS. La version actuelle d’AMOS est capable d’infecter à la fois les Mac basés sur Intel et ceux basés sur ARM.

Le profil malveillant associé à « papinyurii33 » sur GitHub a été créé le 16 janvier 2024, et sa dernière contribution observée a eu lieu le 7 mars 2024. Il contenait seulement deux dépôts, ou « repos », nommés « 2132 » et « 22 ».

Lors de la découverte initiale du compte GitHub, les chercheurs ont observé qu’en plus d’AMOS, le profil hébergeait d’autres fichiers sous le dépôt « 2132 », y compris un dropper pour les voleurs Lumma et Vidar basés sur Windows, ainsi qu’un trojan bancaire Octo pour Android.

Cependant, aucun malware n’a été soumis au dépôt « 22 » depuis début février 2024.

De plus, les chercheurs ont observé comment l’acteur de menace a exécuté divers fichiers DocCloud pour déployer une gamme de voleurs d’informations sur les appareils des victimes. DocCloud.exe a accédé à un serveur de protocole de transfert de fichiers (FTP) FileZilla à l’adresse IP 193.149.189[.]199 en utilisant des identifiants codés en dur (nom d’utilisateur : ins ; mot de passe : installer).

Après qu’une connexion a été établie, un processus enfant de DocCloud.exe a accédé et déchiffré un fichier .ENC, un format de fichier standard pour stocker des données chiffrées, et a combiné les données déchiffrées avec du code shell stocké dans un script Python. Le chargement résultant a ensuite été exécuté comme un argument pour pythonw.exe.

En utilisant l’intelligence réseau de Recorded Future, Insikt a également identifié quatre adresses IP supplémentaires, toutes probablement liées à l’infrastructure réseau de l’acteur de menace. Ces nouvelles adresses IP ont révélé une infrastructure C2 pour DARKCOMET RAT et un serveur FTP FileZilla supplémentaire responsable du déploiement de DARKCOMET RAT.

Ce processus a également été utilisé pour effectuer plusieurs exécutions, entraînant le déploiement des voleurs d’informations Lumma et Vidar.

Afin de réduire le risque de propagation de malwares voleurs d’informations à travers des dépôts GitHub frauduleux, le groupe Insikt recommande plusieurs stratégies d’atténuation aux organisations pour mieux protéger leurs systèmes et données, dont certaines sont :

• Mise en œuvre de contrôles d’accès stricts et de permissions pour limiter qui peut télécharger du code à partir de dépôts externes.

• Surveillance continue des dépôts GitHub pour détecter des signes d’activité frauduleuse ou malveillante.

• Application d’un processus de révision de code à l’échelle de l’organisation pour tout code obtenu à partir de dépôts externes avant de l’intégrer dans des environnements de production.

• Vérification de l’authenticité des sources de téléchargement et maintien de solutions antivirus et anti-malware à jour.

• Sensibilisation des employés, développeurs et utilisateurs aux risques associés au téléchargement de code à partir de sources non fiables, y compris les dépôts GitHub.

• Utilisation d’outils de scan de code automatisés, tels que GitGuardian, Checkmarx ou GitHub Advanced Security, pour détecter des malwares potentiels ou des motifs suspects dans le code.

Vous pouvez consulter le rapport complet du groupe Insikt de Recorded Future pour une compréhension détaillée de cette campagne et des insights techniques détaillés.