Baptisée GitCaught par les chercheurs qui l'ont découverte, cette campagne de diffusion de malwares et chevaux de Troie bancaires a utilisé un profil Github pour ensuite usurper l'identité d'outils populaires et légaux afin de tromper les victimes.
Qu'ils s'appellent GitHub ou FileZilla, le grand public connaît certainement ces outils. Et pour cause, la plateforme de développement collaborative et le client FTP sont les plus populaires dans leur couloir de nage respectif. Une popularité qui ne laisse personne indifférent, surtout pas les hackers, qui savent également comment tirer parti de ces outils pour mener leur basse besogne. En avril 2024, GitHub a d'ailleurs été infesté de malwares qui se sont incrustés dans son système de recherche.
Cette fois, il s'est agi pour les cyberpirates, que les chercheurs qui ont découvert la campagne identifient comme un gang russophone de la Communauté des États indépendants (CEI), de passer par un profil GitHub pour ensuite « usurper l'identité d'applications logicielles légitimes » pour trahir la confiance des victimes et leur servir leurs « cocktails malveillants ».
01 décembre 2024 à 11h06
La campagne GitCaught abuse de services légitimes pour propager son cocktail de logiciels malveillants
La campagne malveillante, baptisée GitCaught, exploite des services en ligne réputés comme GitHub et FileZilla pour diffuser une panoplie de logiciels malveillants et de chevaux de Troie bancaires tels qu'Atomic (alias AMOS), Vidar, Lumma (LummaC2) et Octo. L'objectif est de les faire passer pour des applications crédibles et populaires comme 1Password, Bartender 5, ou encore, pour ne citer que lui, Pixelmator Pro.
Les attaquants créent de faux profils et référentiels sur GitHub où ils hébergent des versions contrefaites de ces logiciels de confiance. Ces fichiers piégés sont conçus pour dérober les données sensibles des appareils infectés. Les liens menant à ces leurres malveillants sont ensuite intégrés dans plusieurs domaines propagés avec des campagnes de phishing, de publicités malveillantes et d'empoisonnement des moteurs de recherche.
Cette vaste opération semble être l'œuvre d'acteurs menaçants russophones installés dans la CEI. Outre GitHub, ils utilisent également les serveurs FileZilla pour la gestion et la distribution de leurs charges malveillantes.
Une analyse plus poussée révèle que cette campagne s'inscrit dans une offensive de grande ampleur visant à propager divers autres malwares comme RedLine, Raccoon, Rhadamanthys et sa troublante ressemblance avec Lumma, DanaBot et DarkComet RAT, et ce, depuis au moins août 2023. Les victimes atterrissant sur les faux sites d'applications sont également redirigées vers des charges utiles hébergées sur Bitbucket et Dropbox, soulignant l'abus généralisé des services légitimes.
Comment ne pas vous faire avoir par ces fausses applications qui cachent des malwares
Parce qu'en fin de compte, GitCaught n'est rien d'autre qu'une énième campagne de malwares, les conseils que Clubic vous donne valent pour toutes les autres. Méfiez-vous des versions d'applications populaires comme 1Password, Bartender 5 et Pixelmator Pro provenant de sources non officielles.
Soyez particulièrement vigilant face aux liens et pièces jointes suspects dans les e-mails, messages et publicités en ligne. Ne cliquez pas sur des liens douteux et ne téléchargez pas de fichiers provenant de sources inconnues.
Gardez tous vos logiciels à jour en installant les derniers correctifs de sécurité. Activez également la mise à jour automatique quand c'est possible.
Utilisez un antivirus et un logiciel anti-malware fiables, et maintenez-les à jour. Procédez régulièrement à des analyses complètes de votre système.
Soyez prudent lors du téléchargement de contenu depuis GitHub, Bitbucket et autres plateformes d'hébergement de code en ligne qui peuvent être, comme nous venons encore une fois de le constater, exploités par les attaquants.
- Barre de connexion rapide
- Prise en main rapide
- Facilité d'utilisation
Sources : The Hacker News, Recorded Future