Một "chiến dịch đa diện" đã được quan sát thấy lạm dụng các dịch vụ hợp pháp như GitHub và FileZilla để cung cấp một loạt các phần mềm độc hại đánh cắp và trojan ngân hàng như Atomic (hay còn gọi là AMOS), Vidar, Lumma (hay còn gọi là LummaC2) và Octo bằng cách mạo danh phần mềm đáng tin cậy như 1Password, Bartender 5 và Pixelmator Pro.
"Sự hiện diện của nhiều biến thể phần mềm độc hại cho thấy một chiến lược nhắm mục tiêu đa nền tảng rộng lớn, trong khi cơ sở hạ tầng C2 chồng chéo chỉ ra một thiết lập lệnh tập trung - có thể làm tăng hiệu quả của các cuộc tấn công", Insikt Group của Recorded Future cho biết trong một báo cáo.
Công ty an ninh mạng, đang theo dõi hoạt động dưới biệt danh GitCaught, cho biết chiến dịch không chỉ nêu bật việc lạm dụng các dịch vụ internet đích thực để dàn dựng các cuộc tấn công mạng, mà còn phụ thuộc vào nhiều biến thể phần mềm độc hại nhắm mục tiêu Android, macOS và Windows để tăng tỷ lệ thành công.
Chuỗi tấn công đòi hỏi phải sử dụng các hồ sơ và kho lưu trữ giả mạo trên GitHub, lưu trữ các phiên bản giả mạo của phần mềm nổi tiếng với mục tiêu dữ liệu nhạy cảm từ các thiết bị bị xâm nhập. Các liên kết đến các tệp độc hại này sau đó được nhúng trong một số tên miền thường được phân phối thông qua các chiến dịch độc hại và đầu độc SEO.
Kẻ thù đằng sau hoạt động này, bị nghi ngờ là các tác nhân đe dọa nói tiếng Nga từ Cộng đồng các quốc gia độc lập (CIS), cũng đã được quan sát thấy sử dụng các máy chủ FileZilla để quản lý và phân phối phần mềm độc hại.
Phân tích sâu hơn về các tệp hình ảnh đĩa trên GitHub và cơ sở hạ tầng liên quan đã xác định rằng các cuộc tấn công gắn liền với một chiến dịch lớn hơn được thiết kế để cung cấp RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot và DarkComet RAT kể từ ít nhất là tháng 8 năm 2023.
Con đường lây nhiễm Rhadamanthys cũng đáng chú ý vì thực tế là các nạn nhân truy cập vào các trang web ứng dụng giả mạo được chuyển hướng đến các tải trọng được lưu trữ trên Bitbucket và Dropbox, cho thấy sự lạm dụng rộng rãi hơn các dịch vụ hợp pháp.
Sự phát triển này diễn ra khi nhóm Microsoft Threat Intelligence nói rằng backdoor macOS có tên mã là Activator vẫn là một "mối đe dọa rất tích cực", được phân phối qua các tệp hình ảnh đĩa mạo danh các phiên bản bẻ khóa của phần mềm hợp pháp và đánh cắp dữ liệu từ các ứng dụng ví Exodus và Bitcoin-Qt.