Кросс-платформенная кампания атакует пользователей Android, macOS и Windows

Кросс-платформенная кампания атакует пользователей Android, macOS и Windows

Кросс-платформенная кампания атакует пользователей Android, macOS и Windows

Киберпреступники запустили интересную кампанию, в ходе которой легитимные сервисы вроде GitHub и FileZilla используются для доставки инфостилеров и банковских троянов. Атакуются пользователи Android, macOS и Windows.

Операторы пытаются установить в системы жертв вредоносы Atomic (он же AMOS), Vidar, Lumma (он же LummaC2) и Octo. Последние маскируются под легитимный софт 1Password, Bartender 5 и Pixelmator Pro.

«Участие сразу несколько вариантов вредоносных программ под разные системы говорит о кросс-платформенном подходе кампании. В то же время операторы используют одну C2-инфраструктуру для централизованной отправки команд», — гласит отчёт Insikt Group.

Специалисты назвали эту кибероперацию «GitCaught». По их словам, она не только демонстрирует возможность использования легитимных веб-сервисов в киберпреступных целях, но и показывает, как повысить эффективность атак с помощью нескольких вариантов вредоносов для разных ОС: Android, macOS и Windows.

В ходе кампании злоумышленники создают на GitHub фейковые профили или репозитории, в которых хранятся поддельные версии популярного софта. После этого ссылки на вредоносные файлы размещаются на ряде веб-сайтов, продвигаемых в поисковой выдаче с помощью вредоносных SEO-техник.

Конечная цель — вытащить конфиденциальные данные с устройств жертв.

 

Как утверждают исследователи, за операцией стоят русскоговорящие киберпреступники, предположительно из стран СНГ. Они же используют серверы FileZilla для доставки и управления вредоносами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники выдали фейковый сайт за госпроект с заработком для граждан

Мошенники придумали новый способ заманивать людей в схемы инвестиционного обмана. На этот раз они сделали поддельный сайт, якобы «официальный ресурс главы государства», и разместили там сообщение о запуске несуществующей платформы «Крипто Школа». Пользователям обещали доход до 150 тысяч рублей в неделю.

Сам сайт с настоящими ресурсами власти ничего общего не имеет. «Указ» о запуске «проекта» не содержит ни даты, ни номера.

Страница выглядит типично для таких схем: форма для ввода имени и телефона, вымышленные отзывы и «новости о выплатах». Домен был зарегистрирован 18 июня 2025 года.

Чтобы привлечь людей на подобные ресурсы, мошенники обычно используют рекламу на популярных сайтах, в приложениях и соцсетях, раскручивают ссылки через спам и рассылки. В данном случае в поисковиках домен не индексируется — значит, ссылки, скорее всего, распространяли напрямую, например через письма.

Эксперты F6 отмечают: приём знакомый. Раньше злоумышленники уже создавали поддельные сайты от имени первых лиц государства, обещая «соцвыплаты». Теперь ту же схему применяют для продвижения якобы инвестиционных платформ.

Что нужно помнить, чтобы не попасться:

  • проверяйте информацию о госпрограммах только на официальных сайтах;
  • внимательно смотрите на домен сайта (фейковые адреса обычно зарегистрированы недавно);
  • не переходите по ссылкам от незнакомцев и не открывайте сомнительные сообщения даже от «знакомых» — их аккаунт мог быть взломан;
  • никогда не вводите персональные данные и реквизиты карт на незнакомых ресурсах;
  • не переводите деньги незнакомым людям и не доверяйте обещаниям «быстрого заработка»;
  • если есть сомнения — лучше уточнить у людей, которым доверяете, прежде чем предпринимать какие-либо действия.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru