Опасных троянцев и инфостилеров разбрасывают по всему миру через легитимные сервисы
Расследование в отношении троянца Atomic под macOS позволило выявить масштабную киберкампанию, нацеленную и на Windows, и на Android.
Потянуть за ниточку, вытянуть слона
Эксперты Insikt Group, подразделения информационной безопасности (ИБ) Recorded Future, опубликовали исследование новой кампании, отличающейся широтой охвата и диапазоном используемых вредоносов. Злоумышленники эксплуатируют легитимные сервисы GitHub и FileZilla, через которые распространяется набор банковских троянцев под разные платформы - Atomic macOS Stealer (AMOS), Vidar, Lumma/LummaC2 и Octo.
В отчёте Insikt особое внимание уделяется именно AMOS, поскольку с него всё расследование и началось. Этот инфостилер распространялся с начала 2024 г. разными способами, включавшими поддельные веб-сайты, мнимые инсталляторы клиентов популярных сервисов (Slack) и даже мошеннические игровые проекты на Web3, перенаправлявшие пользователей на файлообменники Pixeldrain и Dropbox. В ходе дальнейшего изучения кампании эксперты Insikt поняли, что её масштабы намного шире и одним AMOS не ограничиваются.
«В ходе нашего расследования мы выявили 12 веб-сайтов, которые предлагали скачать легитимные приложения под macOS, но на деле жертвы через фиксированную сылку направлялись на профиль в GitHub, предназначенный для распространения AMOS», - пишут исследователи.
Они заявили, что в ходе многонедельного мониторинга этого профиля мы обнаружили ещё несколько вредоносных программ, в том числе банковский троянец Octo и многочисленные инфостилеры для Windows. «Последующий анализ позволил выявить обмен данными с сервером FileZilla, который использовался как дроппер для различных вариантов инфостилеров в стиле Lumma и Vidar, которые распространялись с использованием нескольких скриптов Python и шифрованных файлов с переменчивым наполнением», - заключили исследователи.
В конечном счёте эксперты пришли к выводу о том, что злоумышленники, стоящие за этой кампанией, обладают очень широко распределённой технической инфраструктурой, и что текущая кампания стартовала не позднее августа 2023 г.
Вредоносные загрузчики имитировали не менее дюжины легитимных приложений. Помимо AMOS, Lumma и Vidar таким образом распространялись вредоносы RedLine, Raccoon, Rhadamanthys, DanaBot и DarkComet RAT.
Маршруты заражения Rhadamanthys включали также сервисы Bitbucket и Dropbox.
В отчёте упоминается, что разные фирмы, занимающиеся вопросами кибербезопасности, выявляли разные составляющие текущей кампании. В Insikt её назвали GitCaught.
Русский след
В целом, речь идёт, по-видимому, о сугубо финансовой подоплёке атак. Языковые артефакты в коде HTML-страниц указывают на то, что злоумышленники говорят на русском языке. Как минимум один из профилей в GitHub также носит характерное наименование - papinyurii33.
Организациям, которые могут стать объектом атак, рекомендуется реализовать у себя строгие протоколы безопасности, особенно когда речь идёт об интеграции стороннего кода в собственные среды. В Insikt рекомендуют использовать автоматизированные средства проверки кода и дополнять их аудитом со стороны людей.
«Исходить приходится из того, что если существуют способы злонамеренной эксплуатации легитимных сервисов, то хакеры их найдут, а также из того, что любая выявленная хакерская кампания может быть лишь одной составляющей более масштабных действий», - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ.
По мнению эксперта, нельзя исключать и того, что и нынешний объём информации может оказаться неполным и охват и количество используемых вредоносов окажется ещё большим.