Согласно отчетуInsikt Group, киберпреступники злоупотребляют GitHub и FileZilla для доставки инфостилеров и троянов под видом программ для macOS – 1Password, Bartender 5 и Pixelmator Pro. Кампания получила название GitCaught.
Специалисты отмечают, что наличие множества вариантов вредоносного ПО указывает на стратегию кроссплатформенного нацеливания (Android, macOS и Windows), в то время как C2-инфраструктура свидетельствует о централизованном командном управлении, что повышает эффективность атак.
Цепочка атак включает создание фейковых аккаунтов и репозиториев на GitHub, где размещаются поддельные версии легитимных программ, которые предназначены для кражи конфиденциальных данных с зараженных устройств. Ссылки на вредоносные файлы затем встраиваются в различные домены, которые распространяются через вредоносную рекламу и SEO-кампании.
Злоумышленники используют серверы FileZilla для управления и доставки вредоносного ПО. Дополнительный анализ дисковых образов на GitHub и связанной инфраструктуры показал, что атаки являются частью более масштабной кампании, направленной на доставку таких программ, как RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot и DarkComet RAT, по крайней мере, с августа 2023 года.
Особенно примечательна цепочка заражения Rhadamanthys, где жертвы, попавшие на поддельные сайты для скачивания приложений, перенаправляются на Bitbucket и Dropbox с вредоносными файлами, что предполагает более широкое злоупотребление легитимными сервисами.