GitCaught: скачивание программ на macOS может обернуться кражей данных

Согласно отчету Insikt Group, киберпреступники злоупотребляют GitHub и FileZilla для доставки инфостилеров и троянов под видом программ для macOS - 1Password, Bartender 5 и Pixelmator Pro. Кампания получила название GitCaught.

Специалисты отмечают, что наличие множества вариантов вредоносного ПО указывает на стратегию кроссплатформенного нацеливания (Android, macOS и Windows), в то время как C2-инфраструктура свидетельствует о централизованном командном управлении, что повышает эффективность атак.

Цепочка атак включает создание фейковых аккаунтов и репозиториев на GitHub, где размещаются поддельные версии легитимных программ, которые предназначены для кражи конфиденциальных данных с зараженных устройств. Ссылки на вредоносные файлы затем встраиваются в различные домены, которые распространяются через вредоносную рекламу и SEO-кампании.

Злоумышленники используют серверы FileZilla для управления и доставки вредоносного ПО. Дополнительный анализ дисковых образов на GitHub и связанной инфраструктуры показал, что атаки являются частью более масштабной кампании, направленной на доставку таких программ, как RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot и DarkComet RAT, по крайней мере, с августа 2023 года.

Особенно примечательна цепочка заражения Rhadamanthys, где жертвы, попавшие на поддельные сайты для скачивания приложений, перенаправляются на Bitbucket и Dropbox с вредоносными файлами, что предполагает более широкое злоупотребление легитимными сервисами.