Threats
Cibercriminosos estão a utilizar um perfil do GitHub para disseminar malware de roubo de informações como se fosse software legítimo
17/05/2024
|
Nesta semana, a Recorded Future emitiu um aviso sobre uma campanha maliciosa que está a utilizar um perfil verdadeiro do GitHub para espalhar malware que permite o roubo de dados pessoais. Cibercriminosos russos, que operam fora da Commonwealth of Independent States (CIS), têm distribuído os Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo, disfarçando-se de aplicações legítimos, como 1Password, Bartender 5 e a Pixelmator Pro, como parte da sua campanha. De acordo com um relatório da Recorded Future, estas operações de malware compartilham a mesma infraestrutura command-and-control, indicando que existe um setup centralizado que foi usado nos ataques entre plataformas, provavelmente para aumentar a sua eficiência. Os relatórios da indústria datados do início de 2024 demonstram que o malware AMOS tem sido espalhado através de sites fraudulentos, que imitam aplicações macOS verdadeiras, o que inclui um ficheiro de instalação do Slack, e através de projetos de jogos da Web3 falsos. A Recorded Fututre identificou 12 websites com anúncios legítimos de softwares macOS, mas que direcionava as vítimas para um perfil de GitHub que distribuía malware AMOS. O perfil também distribui o malware Octo Android com o Trojan e variados infostealers da Windows. O perfil do GitHub, com o username ‘painyurii33’, foi criado em janeiro deste ano e contém somente dois repositórios. Os investigadores da Recorded Future revelaram que existiram diversas mudanças feitas aos ficheiros existentes nestes repositórios em fevereiro e em março, mas que não existe qualquer tipo de atividade desde dia 7 de março. A investigação também desvendou o uso de um servidor FTP com um protocolo de transferência de ficheiros FileZilla para controlo de malwares e distribuição de vírus Lumma e Vidar para roubo de informações. A Recorded Future também descobriu diversas moradas de IP ligadas à campanha maliciosa, entre os quais quatro IP associados à infraestrutura C&C para o DarkComet RAT e um servidor FileZilla FTP utilizado para o distribuir. |
Receba todas as novidades na sua caixa de correio!
NEWS
CrowdStrike resolve problema que impacta serviços a nível a mundial
OPINION
Reforçar a cibersegurança com NIS2
ANALYSIS
Maioria das empresas não tem fortes proteções anti-phishing
ANALYSIS
Falha na CrowdStrike impactou 8,5 milhões de dispositivos
S.LABS
Inteligência Artificial: um caminho sem retorno focado na antecipação e adaptação
THREATS
Nvidia corrige vulnerabilidade em produtos de IA e rede
THREATS
Nova tática de phishing utiliza proteções de e-mail para mascarar links
THREATS
CISA alerta para exploração de falha crítica no GeoServer GeoTools
THREATS
AT&T e Snowflake pressionadas por senadores norte-americanos
THREATS
Cibercriminosos usam vulnerabilidade de zero-day do Internet Explorer
