GitCaught: descargar programas en macOS puede resultar en robo de datos

Según un informe de Insikt Group, los ciberdelincuentes están abusando de GitHub y FileZilla para distribuir infostealers y troyanos disfrazados de programas para macOS, como 1Password, Bartender 5 y Pixelmator Pro. La campaña ha sido nombrada GitCaught.

Los especialistas señalan que la existencia de múltiples variantes de malware indica una estrategia de targeting multiplataforma (Android, macOS y Windows), mientras que la infraestructura C2 sugiere un control de comando centralizado, lo que aumenta la eficacia de los ataques.

La cadena de ataque incluye la creación de cuentas y repositorios falsos en GitHub, donde se alojan versiones falsificadas de programas legítimos, diseñadas para robar datos confidenciales de los dispositivos infectados. Los enlaces a los archivos maliciosos se integran luego en varios dominios, que se propagan a través de publicidad maliciosa y campañas de SEO.

Los atacantes utilizan servidores de FileZilla para gestionar y distribuir el malware. Un análisis adicional de las imágenes de disco en GitHub y la infraestructura relacionada mostró que los ataques son parte de una campaña más amplia destinada a distribuir programas como RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot y DarkComet RAT, al menos desde agosto de 2023.

Particularmente notable es la cadena de infección de Rhadamanthys, donde las víctimas que llegan a sitios falsos para descargar aplicaciones son redirigidas a Bitbucket y Dropbox con archivos maliciosos, lo que sugiere un abuso más amplio de servicios legítimos.