Дослідники з команди безпеки Talos компанії Cisco виявили, що оператори malware-as-a-service (MaaS) використовували публічні акаунти GitHub для розповсюдження шкідливого програмного забезпечення. Цей метод надав зловмисникам надійну платформу, яка широко використовується в багатьох підприємствах.
GitHub видалив три акаунти, які містили шкідливі файли, відразу після отримання повідомлення від Talos. Дослідники зазначили, що завантаження файлів з GitHub може обійти системи веб-фільтрації, які не налаштовані на блокування домену GitHub.
Кампанія, яка триває з лютого, використовувала відомий завантажувач Emmenhtal. Раніше цей завантажувач був зафіксований у кампанії, що націлювалася на українські організації. Проте в новій кампанії через GitHub завантажувався інший шкідливий програмний продукт Amadey, відомий своєю здатністю збирати інформацію з інфікованих пристроїв.
Основна функція Amadey полягає в зборі системної інформації та завантаженні додаткових шкідливих програм, адаптованих до конкретних цілей кампанії.