LastPass advierte sobre una campaña de información de información continua y generalizada dirigida a usuarios de Apple MacOS a través de repositorios falsos de GitHub que distribuyen programas cubiertos de malware se plantean como herramientas legítimas.
«En el caso de LastPass, el repositorio fraudulento redirigió a las víctimas potenciales a un repositorio que descarga el malware del infoptealero atómico», dijeron los investigadores Alex Cox, Mike Kosak y Stephanie Schneider del equipo de inteligencia de amenazas, mitigación y escalada (tiempo) de LastPass.
Más allá del último pase, las herramientas populares que se hacen pasar por campañas incluyen 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Concepts, Obsidian, Robinhood, SalesLoft, Sentinelone, Shopififififififififififififififififififififififififife, Thunderbird, TweetDeck y más. Todos los repositorios de Gihub están diseñados para apuntar a los sistemas MacOS.
El ataque incluye el uso de la adicción a la optimización de motores de búsqueda (SEO), presionando un enlace al sitio malicioso de GitHub anterior en los resultados de búsqueda de Bing y Google, haciendo clic en el botón «Instalar LastPass en MacBook» para descargar el programa y redirigir el dominio de la página GitHub.
«Las páginas de Github se crean con múltiples nombres de usuario de GitHub y parecen evitar los derribos», dice LastPass.
La página GitHub está diseñada para llevar a los usuarios a otro dominio que proporciona instrucciones de estilo ClickFix para copiar y ejecutar comandos en una aplicación de terminal e implementa malware Atomic Stealer.
Tenga en cuenta que las campañas similares previamente utilizaron anuncios de Google patrocinados previamente maliciosos para distribuir droppers de varias etapas a través de repositorios falsos de GitHub que pueden detectar máquinas virtuales o entornos de análisis.
En las últimas semanas, se ha descubierto que los actores de amenaza aprovechan los repositorios públicos de GitHub para alojar las cargas útiles maliciosas y distribuirlos a través de Amadey, y han utilizado un comité colgante que corresponde a los repositorios oficiales de GitHub para redirigir a los usuarios inmaduros a programas maliciosos.
Source link
