GitHub et FileZilla utilisés pour déployer des chevaux de Troie bancaires, voici comment ne pas vous faire avoir

Mélina LOUPIA
Publié le 20 mai 2024 à 19h26
De faux profils GitHub trompent votre vigilance © VideoBCN / Shutterstock
De faux profils GitHub trompent votre vigilance © VideoBCN / Shutterstock

Baptisée GitCaught par les chercheurs qui l'ont découverte, cette campagne de diffusion de malwares et chevaux de Troie bancaires a utilisé un profil Github pour ensuite usurper l'identité d'outils populaires et légaux afin de tromper les victimes.

Qu'ils s'appellent GitHub ou FileZilla, le grand public connaît certainement ces outils. Et pour cause, la plateforme de développement collaborative et le client FTP sont les plus populaires dans leur couloir de nage respectif. Une popularité qui ne laisse personne indifférent, surtout pas les hackers, qui savent également comment tirer parti de ces outils pour mener leur basse besogne. En avril 2024, GitHub a d'ailleurs été infesté de malwares qui se sont incrustés dans son système de recherche.

Cette fois, il s'est agi pour les cyberpirates, que les chercheurs qui ont découvert la campagne identifient comme un gang russophone de la Communauté des États indépendants (CEI), de passer par un profil GitHub pour ensuite « usurper l'identité d'applications logicielles légitimes » pour trahir la confiance des victimes et leur servir leurs « cocktails malveillants ».

Meilleur antivirus, le comparatif en juin 2024
A découvrir
Meilleur antivirus, le comparatif en juin 2024

04 juin 2024 à 17h42

Comparatifs services

La campagne GitCaught abuse de services légitimes pour propager son cocktail de logiciels malveillants

La campagne malveillante, baptisée GitCaught, exploite des services en ligne réputés comme GitHub et FileZilla pour diffuser une panoplie de logiciels malveillants et de chevaux de Troie bancaires tels qu'Atomic (alias AMOS), Vidar, Lumma (LummaC2) et Octo. L'objectif est de les faire passer pour des applications crédibles et populaires comme 1Password, Bartender 5, ou encore, pour ne citer que lui, Pixelmator Pro.

Les attaquants créent de faux profils et référentiels sur GitHub où ils hébergent des versions contrefaites de ces logiciels de confiance. Ces fichiers piégés sont conçus pour dérober les données sensibles des appareils infectés. Les liens menant à ces leurres malveillants sont ensuite intégrés dans plusieurs domaines propagés avec des campagnes de phishing, de publicités malveillantes et d'empoisonnement des moteurs de recherche.

Cette vaste opération semble être l'œuvre d'acteurs menaçants russophones installés dans la CEI. Outre GitHub, ils utilisent également les serveurs FileZilla pour la gestion et la distribution de leurs charges malveillantes.

Une analyse plus poussée révèle que cette campagne s'inscrit dans une offensive de grande ampleur visant à propager divers autres malwares comme RedLine, Raccoon, Rhadamanthys et sa troublante ressemblance avec Lumma, DanaBot et DarkComet RAT, et ce, depuis au moins août 2023. Les victimes atterrissant sur les faux sites d'applications sont également redirigées vers des charges utiles hébergées sur Bitbucket et Dropbox, soulignant l'abus généralisé des services légitimes.

Des malwares sont diffusés sur le client FTP © justplay1412 / Shutterstock

Comment ne pas vous faire avoir par ces fausses applications qui cachent des malwares

Parce qu'en fin de compte, GitCaught n'est rien d'autre qu'une énième campagne de malwares, les conseils que Clubic vous donne valent pour toutes les autres. Méfiez-vous des versions d'applications populaires comme 1Password, Bartender 5 et Pixelmator Pro provenant de sources non officielles.

Soyez particulièrement vigilant face aux liens et pièces jointes suspects dans les e-mails, messages et publicités en ligne. Ne cliquez pas sur des liens douteux et ne téléchargez pas de fichiers provenant de sources inconnues.

Gardez tous vos logiciels à jour en installant les derniers correctifs de sécurité. Activez également la mise à jour automatique quand c'est possible.

Utilisez un antivirus et un logiciel anti-malware fiables, et maintenez-les à jour. Procédez régulièrement à des analyses complètes de votre système.

Soyez prudent lors du téléchargement de contenu depuis GitHub, Bitbucket et autres plateformes d'hébergement de code en ligne qui peuvent être, comme nous venons encore une fois de le constater, exploités par les attaquants.

  • Barre de connexion rapide
  • Prise en main rapide
  • Facilité d'utilisation

FileZilla fait partie des meilleurs clients FTP gratuits. Malgré une interface vieillotte, la navigation est fluide et les fonctionnalités sont accessibles à tout type d'utilisateur. Une version en français est même disponible pour ceux qui ont des difficultés avec l'anglais. En résumé : l'essayer, c'est l'adopter !

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (7)
Feunoir

Pas compris le coté Filezilla de la menace?

Et pour le coté Github, les 2 articles d’avril et peut être celui de mars, décrivaient déjà ce détournement de Github j’ai l’impression

Laurent_Marandet

Ne surtout pas utiliser Chrome et ses liens sponsorisés dont certains sont piégés !
Vous voulez télécharger firefox, il essaie de vous pousser vers Opéra, c’est pénible.
Pour des logiciels moins connus, beaucoup de chances de se retrouver sur des sites qui vous affubleront de Ask.com ou Avast…

Firefox + extension ublock origin donne des résultats plus honnêtes.

Melina_Loupia

Bonjour :slight_smile: J’espère que ce passage vous aidera:

« Cette vaste opération semble être l’œuvre d’acteurs menaçants russophones installés dans la CEI. Outre GitHub, ils utilisent également les serveurs FileZilla pour la gestion et la distribution de leurs charges malveillantes. »

Je vous souhaite une bonne journée!

Feunoir

Bonjour
C’est bien le problème de ce passage là, « les serveurs Filezilla » ils les ont comment?
Filezilla pour moi c’est juste un outil de transmission soit vers un serveur (client) soit en emission (server)

Est ce que Filezilla l’outil serveur est compromis? Est ce juste des mots de passes compromis?
Est ce que sans filezilla ils n’ont plus de serveur FTP pour faire leur piratage?

merotic

J’ai rien compris à l’article surtout le passage sur les serveurs Filezilla.

Rassurez-moi, c’est rédigé par une IA?

Melina_Loupia

Bonjour :slight_smile: Non, je n’en suis pas une, je suis navrée de ne pas pouvoir vous rassurer sur ce coup :frowning:

Melina_Loupia

En lisant le rapport de The Recorded Future, cité en source, je pense que ce passage peut vous aider à comprendre, du moins je l’espère:

« En observant l’exécution de DocCloud.exe, extrait du premier et du deuxième téléchargement, le fichier accède à un serveur FTP (File Transfer Protocol) FileZilla à l’adresse IP 193.149.189.199 en utilisant des identifiants codés en dur (nom d’utilisateur : ins ; mot de passe : installer). Une fois la connexion établie, un processus fils de DocCloud.exe accède à un fichier .ENC, un format de fichier standard pour stocker des données cryptées, le décrypte en RC4 et combine les données décryptées avec du shellcode stocké dans un script Python. La charge utile ainsi construite est ensuite exécutée en tant qu’argument de pythonw.exe. Insikt Group a observé plusieurs exécutions suivant ce processus, qui ont finalement abouti au largage des infostealers Lumma et Vidar. »