Les ingénieurs de LastPass ont identifié une nouvelle opération menée par des cybercriminels lesquels utilisent des dépôts GitHub frauduleux pour distribuer un logiciel malveillant capable de voler les informations personnelles des utilisateurs macOS.
L'équipe développant le gestionnaire de mots de passe explique que cette campagne exploite la plateforme GitHub Pages pour tromper les utilisateurs Mac. Et pour obtenir un maximum de visibilité, ils multiplient les techniques de référencement afin d'optimiser ces pages frauduleuses pour les moteurs de recherche. Rapidement, elles apparaissent en tête des résultats Google et Bing.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Plus d'une centaine de marques usurpées
Ces faux dépôts GitHub imitent les pages officielles de nombreuses entreprises technologiques, institutions financières et gestionnaires de mots de passe - Lastpass étant d'ailleurs l'un de ces victimes. Plus d'une centaine d'entreprises ont ainsi été détournées à des fins frauduleuses, parmi lesquelles nous retrouvons : 1Password, Dropbox, Bitpanda, Carbon Copy, Gemini, Notion, Shopify, Thunderbird, Docker ou VSCO.
Les attaquants utilisent des noms d'utilisateur multiples comme "modhopmduck476" pour contourner les mesures de suppression et maintenir leurs opérations actives. Ces pages frauduleuses intègrent systématiquement des termes liés à Mac dans leurs titres, tels que "MacOS", "Mac" ou "Premium on Macbook", pour cibler spécifiquement cette plateforme, et donc les utilisateurs souhaitant télécharger l'app sur leur machine.
La victime est baladée de pages en page
Le mécanisme d'infection se compose d'une chaîne de redirection conçue pour masquer la véritable nature de l'attaque. Lorsqu'un utilisateur clique sur un lien "Install LastPass on MacBook", il est d'abord redirigé vers une page GitHub hébergée à l'adresse "ahoastock825[.]github[.]io/.github/lastpass". Cette page effectue ensuite une seconde redirection vers "macprograms-pro[.]com/mac-git-2-download.html".
Le site final invite les victimes à copier-coller une commande dans le Terminal du Mac. Celle-ci utilise CURL pour récupérer un script depuis une URL encodée en base64 qui, une fois décodée, pointe vers "bonoud[.]com/get3/install.sh". Le script téléchargé installe ensuite un fichier appelé "Update" dans le répertoire temporaire du système. Ce fichier contient en réalité le malware Atomic Stealer, aussi connu sous le nom AMOS.
En circulation depuis avril 2023, Atomic Stealer est un infostealer capable d'extraire des informations sensibles stockées sur le Mac infecté, notamment les mots de passe, les données bancaires et autres informations personnelles.
Ce n'est pas la première fois que Github est utilisé pour propager des logiciels malveillants. En février dernier, nous apprenions que la plateforme de Microsoft avait servi à distribuer le malware GitVenom, servant à voler des cryptos. Au mois de juin, plus de 1 500 joueurs de Minecraft à la recherche de mods avaient été victimes d'un infostealer capable de dérober les mots de passe, portefeuilles crypto et données sensibles des gamers.
