网络犯罪分子利用GitHub和FileZilla提供鸡尾酒恶意软件

观察到“多方面活动”滥用GitHub和FileZilla等合法服务,通过冒充1Password、Bartender 5和Pixelmator Pro等可信软件来提供一系列窃取恶意软件和银行木马,如Atomic(又名AMOS)、Vidar、Lumma(又名LummaC2)和Octo。

Recorded Future的Insikt Group在一份报告中表示,多个恶意软件变体的存在表明了广泛的跨平台目标策略,而重叠的C2基础设施指向集中的命令设置——可能会提高攻击的效率。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络犯罪分子利用GitHub和FileZilla提供鸡尾酒恶意软件

这家以GitCaught为绰号跟踪活动的网络安全公司表示,该活动不仅强调了滥用真实的互联网服务来策划网络攻击,还强调了依赖针对Android、macOS和Windows的多种恶意软件变体来提高成功率。

攻击链需要使用GitHub上的虚假配置文件和存储库,托管知名软件的假冒版本,目标是来自受损设备的敏感数据。然后,这些恶意文件的链接被嵌入到几个域中,这些域通常通过恶意广告和SEO中毒活动进行分发。

图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络犯罪分子利用GitHub和FileZilla提供鸡尾酒恶意软件

观察到该行动背后的对手被怀疑是来自独立国家联合体(CIS)的讲俄语的威胁行为者,他们也使用FileZilla服务器进行恶意软件管理和交付。

对GitHub上磁盘映像文件和相关基础设施的进一步分析确定,这些攻击与旨在交付RedLine、Lumma、Raccoon、Vidar、Rhadamanthys、DanaBot和DarkComet RAT的更大活动有关,该活动至少自2023年8月起。

Rhadamanthys感染途径还值得注意的是,登陆虚假应用程序网站的受害者被重定向到Bitbucket和Dropbox上托管的有效负载,这表明对合法服务的更广泛滥用。

图片[3]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络犯罪分子利用GitHub和FileZilla提供鸡尾酒恶意软件

微软威胁情报团队表示,代号为Activator的macOS后门仍然是一个“非常活跃的威胁”,通过磁盘映像文件分发,冒充合法软件的破解版本,并从Exodus和Bitcoin-Qt钱包应用程序中窃取数据。

这家科技巨头表示,它提示用户以高架权限运行,关闭macOS门禁,并禁用通知中心。然后,它从多个命令和控制(C2)域下载并启动多个阶段的恶意Python脚本,并将这些恶意脚本添加到LaunchAgents文件夹中以进行持久性。

链接:

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞9 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容