HiBatya
Проверенный продавец
Киберпреступники развернули кампанию, в рамках которой пытаются маскировать вредоносы под легальное ПО на портале GitHub. Об этом заявили исследователи информационной безопасности из компании Recorded Future.
Известно, что действовали хакеры с территории СНГ, а под распространение попали Atomic macOS Stealer (AMOS), Vidar, Lumma и Octo. Среди белых приложений, которыми прикрывались вредоносы, оказались 1Password, Bartender 5 и Pixelmator Pro. Отмечается использование единой инфраструктуры для всех стилеров, что, по задумке авторов, должно было повысить эффективность кросс-платформенных атак.
В ходе исследования аналитикам удалось выявить сразу 12 сайтов, рекламирующих ПО для macOS, но ведущих в итоге на профиль GitHub с ником papinyurii33, предлагавший для скачивания замаскированный стилер AMOS. Он же принимал участие в распространении банковского трояна Octo для Android и ряд стилеров для Windows. Сам аккаунт был создан 16 января 2024 года и содержал всего два репозитория. Никаких изменений в них не вносили с 7 марта.
Что любопытно, с этой кампанией оказались связаны несколько IP-адресов, и четыре из них засветились в инфраструктуре DarkComet RAT и FTP-сервером FileZilla. Этот сервер, в свою очередь, участвовал в распространении стилеров Lumma и Vidar. А с августа 2023 года по февраль 2024 года аналогичным образом заражались жертвы стилера Raccoon.
Известно, что действовали хакеры с территории СНГ, а под распространение попали Atomic macOS Stealer (AMOS), Vidar, Lumma и Octo. Среди белых приложений, которыми прикрывались вредоносы, оказались 1Password, Bartender 5 и Pixelmator Pro. Отмечается использование единой инфраструктуры для всех стилеров, что, по задумке авторов, должно было повысить эффективность кросс-платформенных атак.
В ходе исследования аналитикам удалось выявить сразу 12 сайтов, рекламирующих ПО для macOS, но ведущих в итоге на профиль GitHub с ником papinyurii33, предлагавший для скачивания замаскированный стилер AMOS. Он же принимал участие в распространении банковского трояна Octo для Android и ряд стилеров для Windows. Сам аккаунт был создан 16 января 2024 года и содержал всего два репозитория. Никаких изменений в них не вносили с 7 марта.
Что любопытно, с этой кампанией оказались связаны несколько IP-адресов, и четыре из них засветились в инфраструктуре DarkComet RAT и FTP-сервером FileZilla. Этот сервер, в свою очередь, участвовал в распространении стилеров Lumma и Vidar. А с августа 2023 года по февраль 2024 года аналогичным образом заражались жертвы стилера Raccoon.