Recentemente, pesquisadores do grupo Insikt da Recorded Future descobriram um esquema cibernético que está explorando serviços confiáveis da internet, como GitHub e FileZilla, para distribuir malwares.
A operação, atribuída a cibercriminosos de língua russa, envolve a criação de perfis falsos no GitHub para se passar por softwares legítimos, como 1Password, Bartender 5 e Pixelmator Pro.
Segundo o Insikt, esses perfis falsificados são usados para disseminar diferentes tipos de malware, incluindo o Atomic macOS Stealer (AMOS), Vidar, Lumma e Octo.
O esquema ficou conhecido como "GitCaught"
Os hackers que participam do esquema distribuem os vírus às pessoas por meio de uma campanha apelidada de "GitCaught" usando uma estratégia de ataque complexa e bem organizada.
Os cibercriminosos não só utilizam o GitHub para hospedar malwares disfarçados de softwares conhecidos, mas também recorrem ao FileZilla, um servidor FTP popular, para distribuir cargas maliciosas.
Como é feito os ataques
Os ataques começam com a criação de perfis e repositórios falsos no GitHub. Por exemplo, um perfil falso com o nome "papinyurii33" foi identificado como fonte de download de instaladores macOS contaminados com o infostealer AMOS.
Esse perfil, criado em janeiro de 2024, contava com dois repositórios principais, usados para distribuir malwares tanto para macOS quanto para Windows. Além do GitHub, os criminosos utilizam o FileZilla para facilitar a entrega de malwares.
Durante a investigação, foi identificado que um arquivo executável chamado DocCloud.exe usava credenciais pré-configuradas para acessar um servidor FTP do FileZilla, de onde carregava e executava malwares após descriptografar arquivos .ENC.
O que fazer para se proteger
Para reduzir o risco de infecções por malwares através de repositórios fraudulentos no GitHub, o Insikt Group compartilhou várias estratégias, veja abaixo:
- Controle de acesso rigoroso: Limitar quem pode baixar códigos de repositórios externos.
- Monitoramento contínuo: Vigiar repositórios do GitHub em busca de sinais de atividades fraudulentas.
- Revisão de código: Implementar processos de revisão para todo código obtido de fontes externas antes de integrá-lo ao ambiente de produção.
- Verificação de fontes: Assegurar a autenticidade das fontes de download e manter soluções antivírus atualizadas.
- Educação: Informar funcionários e desenvolvedores sobre os riscos de baixar códigos de fontes não confiáveis.
- Ferramentas automatizadas: Utilizar ferramentas de varredura de código, como GitGuardian ou Checkmarx, para detectar possíveis malwares.
A exploração de plataformas como o GitHub e FileZilla para a distribuição de malwares mostra como os hackers estão mais criativos e engenhosos em suas práticas maliciosas na internet.
Para um entendimento mais detalhado do ataque envolvendo o GitHub e FileZilla e obter mais insights técnicos, acesse o relatório completo da Recorded Future.
