Hackers Estão Explorando GitHub e FileZilla Para Entregar Malwares

Pesquisadores do Insikt Group da Recorded Future descobriram uma campanha extensa e multifacetada que explora serviços de internet confiáveis, como GitHub e FileZilla, para realizar ciberataques que roubam informações pessoais.

Esta campanha, atribuída a atores de ameaça de língua russa provavelmente localizados na Comunidade dos Estados Independentes (CEI), abusa de um perfil legítimo do GitHub para se passar por software legítimo, como 1Password, Bartender 5 e Pixelmator Pro, para distribuir vários tipos de malware, como Atomic macOS Stealer (AMOS), Vidar, Lumma (também conhecido como LummaC2) e Octo.

“Algumas famílias de malware observadas nesta campanha, como Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo, usam sistemas compartilhados de comando e controle (C2), mostrando uma estratégia de ciberataque complexa e coordenada”, escreveu o Insikt Group da Recorded Future em seu relatório.

“A presença de múltiplas variantes de malware sugere uma ampla estratégia de targeting cross-platform, enquanto a infraestrutura C2 sobreposta aponta para uma configuração de comando centralizada — possivelmente aumentando a eficiência dos ataques.”

A atividade, que está sendo rastreada sob o apelido ‘GitCaught’, não apenas destaca o abuso de serviços de internet legítimos (LIS), mas também a dependência de múltiplas variantes em ataques cross-platform para aumentar a taxa de sucesso da campanha.

Os atores de ameaça habilidosamente criaram perfis e repositórios falsos no GitHub, uma plataforma amplamente utilizada para desenvolvimento colaborativo de software, apresentando versões falsas de softwares bem conhecidos que são projetados para infiltrar os sistemas dos usuários e roubar informações sensíveis, como senhas, dados financeiros e detalhes de identificação pessoal.

Além do GitHub, os atores de ameaça de língua russa também foram observados usando infraestrutura gratuita e baseada na web, como servidores FileZilla, como um mecanismo para entrega de malware, abusando de canais legítimos para disseminar vários payloads maliciosos para os dispositivos das vítimas.

Durante uma investigação do stealer AMOS, o Insikt Group identificou doze domínios que se passavam por aplicativos legítimos do macOS, como CleanShot X, 1Password e Bartender.

Todos os doze domínios identificados redirecionaram os usuários para um perfil do GitHub pertencente a um usuário chamado “papinyurii33” para baixar mídias de instalação do macOS levando à infecção pelo infostealer AMOS. A versão atual do AMOS é capaz de infectar Macs baseados em Intel e ARM.

O perfil malicioso associado a “papinyurii33” no GitHub foi criado em 16 de janeiro de 2024, e sua última contribuição observada foi em 7 de março de 2024. Ele continha apenas dois repositórios, ou “repos”, nomeados “2132” e “22”.

Após a descoberta inicial da conta do GitHub, os pesquisadores observaram que além do AMOS, o perfil estava hospedando outros arquivos sob o repositório “2132”, incluindo um dropper para os stealers Lumma e Vidar baseados em Windows, bem como um trojan bancário Octo para Android.

No entanto, nenhum malware foi enviado para o repositório “22” desde o início de fevereiro de 2024.

Além disso, os pesquisadores observaram como o ator de ameaça executou vários arquivos DocCloud para implantar uma gama de infostealers nos dispositivos das vítimas. DocCloud.exe acessou um servidor de protocolo de transferência de arquivos (FTP) FileZilla no endereço IP 193.149.189[.]199 usando credenciais hardcoded (nome de usuário:ins; senha:installer).

Após uma conexão ser estabelecida, um processo filho de DocCloud.exe acessou e descriptografou um arquivo .ENC, um formato de arquivo padrão para armazenar dados criptografados, e combinou os dados descriptografados com shellcode armazenado dentro de um script Python. O payload resultante foi então executado como um argumento para pythonw.exe.

Usando a Inteligência de Rede da Recorded Future, o Insikt também identificou quatro endereços IP adicionais, todos provavelmente relacionados à infraestrutura de rede do ator de ameaça. Esses novos endereços IP revelaram infraestrutura C2 para DARKCOMET RAT e um servidor FTP FileZilla adicional responsável pela implantação do DARKCOMET RAT.

Esse processo também foi utilizado na realização de múltiplas execuções, resultando na entrega dos infostealers Lumma e Vidar.

Para reduzir o risco de malware infostealer se espalhando através de repositórios fraudulentos do GitHub, o Insikt Group recomenda várias estratégias de mitigação para organizações protegerem melhor seus sistemas e dados, algumas das quais são:

• Implementação de controles de acesso e permissões rigorosos para limitar quem pode baixar código de repositórios externos.

• Monitoramento contínuo de repositórios do GitHub em busca de sinais de atividade fraudulenta ou maliciosa.

• Aplicação de um processo de revisão de código em toda a organização para todo o código obtido de repositórios externos antes de integrá-lo em ambientes de produção.

• Verificação da autenticidade das fontes de download e manutenção de soluções antivírus e anti-malware atualizadas.

• Educação de funcionários, desenvolvedores e usuários sobre os riscos associados ao download de código de fontes não confiáveis, incluindo repositórios do GitHub.

• Emprego de ferramentas automatizadas de escaneamento de código, como GitGuardian, Checkmarx ou GitHub Advanced Security, para detectar potenciais malwares ou padrões suspeitos no código.

Você pode conferir o relatório completo do Insikt Group da Recorded Future para uma compreensão detalhada desta campanha e insights técnicos detalhados.