Los piratas informáticos usan repositorios de GitHub para alojar malware amadey y robos de datos, evitando filtros

17 de julio de 2025Ravie LakshmananMalware / Ingeniería Social

Los actores de amenaza están aprovechando Repositorios públicos de Github para organizar cargas útiles maliciosas y distribuirlas a través de Amadey como parte de una campaña observada en abril de 2025.

«El Maas [malware-as-a-service] Los operadores usaron cuentas falsas de GitHub para alojar cargas útiles, herramientas y complementos Amadey, probablemente como un intento de evitar el filtrado web y para facilitar el uso «, los investigadores de Cisco Talos Chris Neal y Craig Jackson dicho en un informe publicado hoy.

La compañía de ciberseguridad dijo que las cadenas de ataque aprovechan un cargador de malware llamado Emmenhtal (también conocido como Peaklight) para entregar Amadey, que, por su parte, descarga varias cargas útiles personalizadas de repositorios públicos de GitHub operados por los actores de amenazas.

La actividad comparte similitudes tácticas con una campaña de phishing de correo electrónico que utilizó el pago de facturas y los señuelos relacionados con la facturación para distribuir Smokeloader a través de Emmenhtal en febrero de 2025 en ataques dirigidos a entidades ucranianas.

Tanto Emmenhtal como Amadey funcionan como descargador para cargas útiles secundarias como robadores de información, aunque este último también ha sido observado Entrega de ransomware como Lockbit 3.0 en el pasado.

Otra distinción crucial entre las dos familias de malware es que, a diferencia de Emmenhtal, Amadey puede recopilar información del sistema y puede extenderse en cuanto a características con una matriz de complementos DLL que permiten una funcionalidad específica, como robo de credenciales o captura de captura de pantalla.

El análisis de Cisco Talos de la campaña de abril de 2025 ha descubierto tres cuentas de GitHub (Legendary99999, DFFE9EWF y MILIDMDDDS) que se utilizan para organizar complementos Amadey, cargas útiles y otros guiones de ataque malicioso, que incluyen Lumma Staaler, Redline Stealer y Rhadamanthys Stealer. Desde entonces, las cuentas han sido retiradas por Github.

Se ha encontrado que algunos de los archivos JavaScript presentes en los repositorios de GitHub son idénticos a los scripts Emmenthal empleados en la campaña Smokeloader, la principal diferencia es las cargas útiles descargadas. Específicamente, los archivos del cargador Emmenhtal en los repositorios sirven como vector de entrega para Amadey, Asyncrat y una copia legítima de Putty.exe.

También se descubre en los repositorios de GitHub un guión de Python que probablemente representa una evolución de Emmenhtal, incorporando un comando de PowerShell integrado para descargar Amadey de una dirección IP codificada.

Se cree que las cuentas de GitHub utilizadas para organizar las cargas útiles son parte de una operación MAAS más grande que abusa de la plataforma de alojamiento de código de Microsoft para fines maliciosos.

La divulgación se produce cuando Trellix detalló una campaña de phishing que propaga otro cargador de malware conocido como Cargador de calamares en ataques cibernéticos dirigidos contra instituciones de servicios financieros en Hong Kong. Los artefactos adicionales desenterrados por el proveedor de seguridad sugieren que los ataques relacionados pueden estar en marcha en Singapur y Australia.

Cadena de ataque de cargador de calamares

SquidLoader es una amenaza formidable debido a la diversa gama de técnicas anti-análisis, anti-sandbox y anti-debug empaquetadas en ella, lo que le permite evadir la detección y obstaculizar los esfuerzos de investigación. También puede establecer la comunicación con un servidor remoto para enviar información sobre el host infectado e inyectar la carga útil de la próxima etapa.

«El cargador de calamares emplea una cadena de ataque que culminó con el despliegue de un baliza de ataque de cobalto para el acceso y el control remoto», investigador de seguridad Charles Crofford dicho. «Sus intrincadas técnicas anti-análisis, anti-sandbox y anti-fondos, junto con sus tasas de detección dispersas, representan una amenaza significativa para las organizaciones específicas».

Los hallazgos también siguen el descubrimiento de una amplia gama de campañas de ingeniería social que están diseñadas para distribuir varias familias de malware –

• Los ataques probablemente realizados por un grupo motivado financieramente denominado UNC5952 que aprovechar Temas de factura en correos electrónicos para servir a droppers maliciosos que conducen a la implementación de un descargador llamado Chainverb que, a su vez, ofrece el software de acceso remoto de screenconnect conectado conectado
• Ataques que emplear Los señuelos relacionados con los impuestos para engañar a los destinatarios para hacer clic en un enlace que finalmente ofrece un instalador de captura de pantalla de conexión de conexión con el pretexto de lanzar un documento PDF
• Ataques que valerse Temas de la Administración del Seguro Social de los Estados Unidos (SSA) para recolectar credenciales de usuarios o instalar la versión troyanizada de Connectwise ScreenConnect, después de los cuales se instruye a las víctimas que instalaran y sincronizar la aplicación de enlace de teléfono de Microsoft para posiblemente recopilar mensajes de texto y códigos de autenticación de dos factores enviados al dispositivo móvil conectado
• Ataques que aprovechar Un kit de phishing llamado logokit para habilitar la recolección de credenciales mediante la creación de páginas de inicio de sesión parecidas y alojándolas en la infraestructura de Amazon Web Services (AWS) para evitar la detección, al tiempo que integra la verificación de CloudFlare Turnstile Captcha para crear una falsa sensación de seguridad y legitimidad
• Ataques que valerse otro frasco de pitón personalizado basado en kit de phishing Para facilitar el robo de credenciales con un esfuerzo técnico mínimo
• Ataques con nombre en código Scanception que emplear Códigos QR en PDF Adjuntos de correo electrónico a usuarios directos a las páginas de cosecha de credenciales imitando el portal de inicio de sesión de Microsoft
• Ataques que emplean el Clickfix táctica para entregar Rhadamanthys Stealer y Rata de soporte de redes
• Ataques que utilizar Las ofrendas de Cloaking-As-A-Service (CAAS) como Hoax Tech y JS hacen clic en Cloaker para ocultar los sitios web de phishing y maliciosos de los escáneres de seguridad y mostrarles solo a las víctimas previstas como una forma de volar bajo el radar
• Ataques que aprovechar HTML y JavaScript para crear correos electrónicos maliciosos de aspecto realista que puedan omitir las sospechas del usuario y las herramientas de detección tradicionales
• Ataques dirigidos a proveedores de servicios B2B que valerse Archivos de imagen de gráficos vectoriales escalables (SVG) en correos electrónicos de phishing y que incusaron a JavaScript para facilitar las redirecciones a la infraestructura controlada por los atacantes usando la función Window.location.href una vez que se abren en un navegador web

Según los datos compilados por Cofense, el uso de códigos QR representaron el 57% de las campañas con tácticas, técnicas y procedimientos (TTP) avanzados en 2024. Otros métodos notables incluyen el uso de archivos adjuntos de archivos protegidos con contraseña en correos electrónicos para obtener puertas de correo electrónico seguras (SEG).

«Al proteger la contraseña del archivo, los actores de amenaza evitan que los SEG y otros métodos escaneen su contenido y detecten lo que generalmente es un archivo claramente malicioso», el investigador de Cofense Max Gannon dicho.