Gli hacker sfruttano GitHub e FileZilla per consegnare malware

I ricercatori del gruppo Insikt di Recorded Future hanno scoperto una campagna estesa e multifaccettata che sfrutta servizi internet fidati, come GitHub e FileZilla, per portare a termine attacchi informatici che rubano informazioni personali.

Questa campagna, attribuita a attori minacciosi di lingua russa probabilmente situati nella Comunità degli Stati Indipendenti (CSI), abusa di un profilo GitHub legittimo per impersonare software legittimi, come 1Password, Bartender 5 e Pixelmator Pro, per distribuire vari tipi di malware, come Atomic macOS Stealer (AMOS), Vidar, Lumma (noto anche come LummaC2) e Octo.

“Alcune famiglie di malware osservate in questa campagna, come Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo, utilizzano sistemi di comando e controllo (C2) condivisi, mostrando una strategia di attacco informatico complessa e coordinata,” ha scritto il gruppo Insikt di Recorded Future nel suo rapporto.

“La presenza di molteplici varianti di malware suggerisce una strategia di targeting cross-platform ampia, mentre l’infrastruttura C2 sovrapposta indica un’impostazione di comando centralizzata — aumentando possibilmente l’efficienza degli attacchi.”

L’attività, che viene monitorata con il soprannome ‘GitCaught’, non solo evidenzia l’abuso di servizi internet legittimi (LIS), ma anche la dipendenza da molteplici varianti negli attacchi cross-platform per aumentare il tasso di successo della campagna.

Gli attori minacciosi hanno abilmente creato profili e repository falsi su GitHub, una piattaforma ampiamente utilizzata per lo sviluppo collaborativo di software, presentando versioni contraffatte di software ben noti progettati per infiltrarsi nei sistemi degli utenti e rubare informazioni sensibili, come password, dati finanziari e dettagli di identificazione personale.

Oltre a GitHub, gli attori minacciosi di lingua russa sono stati osservati anche utilizzare infrastrutture gratuite e basate sul web, come i server FileZilla, come meccanismo per la consegna di malware, abusando di canali legittimi per diffondere vari payload dannosi sui dispositivi delle vittime.

Durante un’indagine sul rubatore AMOS, il gruppo Insikt ha identificato dodici domini che impersonavano app legittime per macOS, come CleanShot X, 1Password e Bartender.

Tutti e dodici i domini identificati reindirizzavano gli utenti a un profilo GitHub appartenente a un utente di nome “papinyurii33” per scaricare media di installazione macOS che portavano all’infezione da AMOS infostealer. L’attuale versione di AMOS è in grado di infettare sia i Mac basati su Intel che quelli basati su ARM.

Il profilo malevolo associato a “papinyurii33” su GitHub è stato creato il 16 gennaio 2024 e il suo ultimo contributo osservato è stato il 7 marzo 2024. Conteneva solo due repository, o “repos”, chiamati “2132” e “22”.

Alla scoperta iniziale dell’account GitHub, i ricercatori hanno osservato che oltre ad AMOS, il profilo ospitava altri file sotto il repository “2132”, inclusi un dropper per i rubatori Lumma e Vidar basati su Windows, così come un trojan bancario Octo per Android.

Tuttavia, nessun malware è stato inviato al repository “22” da inizio febbraio 2024.

Inoltre, i ricercatori hanno osservato come l’attore minaccioso eseguisse vari file DocCloud per distribuire una gamma di infostealer sui dispositivi delle vittime. DocCloud.exe accedeva a un server di protocollo di trasferimento file (FTP) FileZilla all’indirizzo IP 193.149.189[.]199 utilizzando credenziali hardcoded (nome utente: ins; password: installer).

Dopo che è stata stabilita una connessione, un processo figlio di DocCloud.exe accedeva e decrittografava un file .ENC, un formato di file standard per memorizzare dati crittografati, e combinava i dati decrittografati con shellcode memorizzato all’interno di uno script Python. Il payload risultante veniva quindi eseguito come argomento per pythonw.exe.

Utilizzando l’Intelligence di Rete di Recorded Future, Insikt ha anche identificato quattro indirizzi IP aggiuntivi, tutti probabilmente correlati all’infrastruttura di rete dell’attore minaccioso. Questi nuovi indirizzi IP rivelavano un’infrastruttura C2 per DARKCOMET RAT e un ulteriore server FTP FileZilla responsabile della distribuzione di DARKCOMET RAT.

Questo processo è stato utilizzato anche per eseguire più esecuzioni, risultando nel rilascio di infostealer Lumma e Vidar.

Per ridurre il rischio di diffusione di malware infostealer attraverso repository GitHub fraudolenti, il gruppo Insikt raccomanda diverse strategie di mitigazione alle organizzazioni per proteggere meglio i loro sistemi e dati, alcune delle quali sono:

• Implementazione di controlli di accesso e permessi rigorosi per limitare chi può scaricare codice da repository esterni.

• Monitoraggio continuo dei repository GitHub per segni di attività fraudolenta o malevola.

• Applicare un processo di revisione del codice a livello organizzativo per tutto il codice ottenuto da repository esterni prima di integrarlo negli ambienti di produzione.

• Verificare l’autenticità delle fonti di download e mantenere soluzioni antivirus e anti-malware aggiornate.

• Educare i dipendenti, gli sviluppatori e gli utenti sui rischi associati al download di codice da fonti non affidabili, inclusi i repository GitHub.

• Utilizzare strumenti di scansione automatizzati del codice, come GitGuardian, Checkmarx o GitHub Advanced Security, per rilevare potenziali malware o schemi sospetti nel codice.

Puoi consultare il rapporto completo del gruppo Insikt di Recorded Future per una comprensione dettagliata di questa campagna e approfondimenti tecnici dettagliati.