网络犯罪分子利用GitHub和FileZilla提供鸡尾酒恶意软件

观察到“多方面活动”滥用GitHub和FileZilla等合法服务，通过冒充1Password、Bartender 5和Pixelmator Pro等可信软件来提供一系列窃取恶意软件和银行木马，如Atomic（又名AMOS）、Vidar、Lumma（又名LummaC2）和Octo。

Recorded Future的Insikt Group在一份报告中表示，多个恶意软件变体的存在表明了广泛的跨平台目标策略，而重叠的C2基础设施指向集中的命令设置——可能会提高攻击的效率。

这家以GitCaught为绰号跟踪活动的网络安全公司表示，该活动不仅强调了滥用真实的互联网服务来策划网络攻击，还强调了依赖针对Android、macOS和Windows的多种恶意软件变体来提高成功率。

攻击链需要使用GitHub上的虚假配置文件和存储库，托管知名软件的假冒版本，目标是来自受损设备的敏感数据。然后，这些恶意文件的链接被嵌入到几个域中，这些域通常通过恶意广告和SEO中毒活动进行分发。

观察到该行动背后的对手被怀疑是来自独立国家联合体（CIS）的讲俄语的威胁行为者，他们也使用FileZilla服务器进行恶意软件管理和交付。

对GitHub上磁盘映像文件和相关基础设施的进一步分析确定，这些攻击与旨在交付RedLine、Lumma、Raccoon、Vidar、Rhadamanthys、DanaBot和DarkComet RAT的更大活动有关，该活动至少自2023年8月起。

Rhadamanthys感染途径还值得注意的是，登陆虚假应用程序网站的受害者被重定向到Bitbucket和Dropbox上托管的有效负载，这表明对合法服务的更广泛滥用。

微软威胁情报团队表示，代号为Activator的macOS后门仍然是一个“非常活跃的威胁”，通过磁盘映像文件分发，冒充合法软件的破解版本，并从Exodus和Bitcoin-Qt钱包应用程序中窃取数据。

这家科技巨头表示，它提示用户以高架权限运行，关闭macOS门禁，并禁用通知中心。然后，它从多个命令和控制（C2）域下载并启动多个阶段的恶意Python脚本，并将这些恶意脚本添加到LaunchAgents文件夹中以进行持久性。

链接：