Baptisée GitCaught par les chercheurs qui l’ont découverte, cette campagne de diffusion de malwares et chevaux de Troie bancaires a utilisé un profil Github pour ensuite usurper l’identité d’outils populaires et légaux afin de tromper les victimes.
Pas compris le coté Filezilla de la menace?
Et pour le coté Github, les 2 articles d’avril et peut être celui de mars, décrivaient déjà ce détournement de Github j’ai l’impression
Ne surtout pas utiliser Chrome et ses liens sponsorisés dont certains sont piégés !
Vous voulez télécharger firefox, il essaie de vous pousser vers Opéra, c’est pénible.
Pour des logiciels moins connus, beaucoup de chances de se retrouver sur des sites qui vous affubleront de Ask.com ou Avast…
Firefox + extension ublock origin donne des résultats plus honnêtes.
1 « J'aime »
Bonjour 
J’espère que ce passage vous aidera:
« Cette vaste opération semble être l’œuvre d’acteurs menaçants russophones installés dans la CEI. Outre GitHub, ils utilisent également les serveurs FileZilla pour la gestion et la distribution de leurs charges malveillantes. »
Je vous souhaite une bonne journée!
Bonjour
C’est bien le problème de ce passage là, « les serveurs Filezilla » ils les ont comment?
Filezilla pour moi c’est juste un outil de transmission soit vers un serveur (client) soit en emission (server)
Est ce que Filezilla l’outil serveur est compromis? Est ce juste des mots de passes compromis?
Est ce que sans filezilla ils n’ont plus de serveur FTP pour faire leur piratage?
J’ai rien compris à l’article surtout le passage sur les serveurs Filezilla.
Rassurez-moi, c’est rédigé par une IA?
Bonjour Non, je n’en suis pas une, je suis navrée de ne pas pouvoir vous rassurer sur ce coup 
En lisant le rapport de The Recorded Future, cité en source, je pense que ce passage peut vous aider à comprendre, du moins je l’espère:
« En observant l’exécution de DocCloud.exe, extrait du premier et du deuxième téléchargement, le fichier accède à un serveur FTP (File Transfer Protocol) FileZilla à l’adresse IP 193.149.189.199 en utilisant des identifiants codés en dur (nom d’utilisateur : ins ; mot de passe : installer). Une fois la connexion établie, un processus fils de DocCloud.exe accède à un fichier .ENC, un format de fichier standard pour stocker des données cryptées, le décrypte en RC4 et combine les données décryptées avec du shellcode stocké dans un script Python. La charge utile ainsi construite est ensuite exécutée en tant qu’argument de pythonw.exe. Insikt Group a observé plusieurs exécutions suivant ce processus, qui ont finalement abouti au largage des infostealers Lumma et Vidar. »