Hackers estão explorando falhas no GitHub e FileZilla para espalhar malwares

Imagem de: Hackers estão explorando falhas no GitHub e FileZilla para espalhar malwares

Recentemente, pesquisadores do grupo Insikt da Recorded Future descobriram um esquema cibernético que está explorando serviços confiáveis da internet, como GitHub e FileZilla, para distribuir malwares.

A operação, atribuída a cibercriminosos de língua russa, envolve a criação de perfis falsos no GitHub para se passar por softwares legítimos, como 1Password, Bartender 5 e Pixelmator Pro.

Segundo o Insikt, esses perfis falsificados são usados para disseminar diferentes tipos de malware, incluindo o Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo.

O esquema ficou conhecido como "GitCaught"

Os hackers que participam do esquema distribuem os vírus às pessoas por meio de uma campanha apelidada de "GitCaught" usando uma estratégia de ataque complexa e bem organizada.

Os cibercriminosos não só utilizam o GitHub para hospedar malwares disfarçados de softwares conhecidos, mas também recorrem ao FileZilla, um servidor FTP popular, para distribuir cargas maliciosas.

Como é feito os ataques

Os ataques começam com a criação de perfis e repositórios falsos no GitHub. Por exemplo, um perfil falso com o nome "papinyurii33" foi identificado como fonte de download de instaladores macOS contaminados com o infostealer AMOS.

Esse perfil, criado em janeiro de 2024, contava com dois repositórios principais, usados para distribuir malwares tanto para macOS quanto para Windows. Além do GitHub, os criminosos utilizam o FileZilla para facilitar a entrega de malwares.

Durante a investigação, foi identificado que um arquivo executável chamado DocCloud.exe usava credenciais pré-configuradas para acessar um servidor FTP do FileZilla, de onde carregava e executava malwares após descriptografar arquivosENC.

O que fazer para se proteger

Para reduzir o risco de infecções por malwares através de repositórios fraudulentos no GitHub, o Insikt Group compartilhou várias estratégias, veja abaixo:

  • Controle de acesso rigoroso: Limitar quem pode baixar códigos de repositórios externos.
  • Monitoramento contínuo: Vigiar repositórios do GitHub em busca de sinais de atividades fraudulentas.
  • Revisão de código: Implementar processos de revisão para todo código obtido de fontes externas antes de integrá-lo ao ambiente de produção.
  • Verificação de fontes: Assegurar a autenticidade das fontes de download e manter soluções antivírus atualizadas.
  • Educação: Informar funcionários e desenvolvedores sobre os riscos de baixar códigos de fontes não confiáveis.
  • Ferramentas automatizadas: Utilizar ferramentas de varredura de código, como GitGuardian ou Checkmarx, para detectar possíveis malwares.

A exploração de plataformas como o GitHub e FileZilla para a distribuição de malwares mostra como os hackers estão mais criativos e engenhosos em suas práticas maliciosas na internet.

Para um entendimento mais detalhado do ataque envolvendo o GitHub e FileZilla e obter mais insights técnicos, acesse o relatório completo da Recorded Future.