- Los repositorios de Github están infectados con malware
- Los repositorios confiables pueden eludir las puertas de enlace web seguras
- Los comentarios de Github también se utilizan para ocultar archivos maliciosos.
En una nueva campaña de phishing descubierta por Cofense Intelligence, los actores de amenazas utilizaron un enfoque novedoso al aprovechar repositorios confiables de GitHub para distribuir malware. La campaña tiene como objetivo explotar la confianza inherente que muchas organizaciones depositan en GitHub como plataforma para desarrolladores.
En lugar de crear repositorios maliciosos, los atacantes optaron por incrustar el malware en repositorios legítimos. impuesto Organizaciones como UsTaxes, HMRC e Inland Revenue.
Esto les permitió eludir las protecciones de Secure Email Gateway (SEG), lo que plantea un desafío importante para las defensas de ciberseguridad. El ataque también aprovechó el sentido de urgencia asociado con la presentación de impuestos después de la fecha límite de abril en Estados Unidos.
Táctica de phishing: abuso de repositorios confiables
Los correos electrónicos relacionados con la campaña contienen enlaces a archivos alojados en GitHub. A diferencia de los ataques de phishing tradicionales que se basan en enlaces o archivos adjuntos sospechosos, estos correos electrónicos parecían creíbles porque los repositorios de GitHub utilizados eran legítimos, conocidos y podían ser falsificados. Portales web seguros.
Los archivos asociados con los correos electrónicos estaban protegidos con contraseña, una táctica utilizada para crear un aire de legitimidad. Esta protección también dificultaba que los escáneres de malware detectaran y escanearan el contenido del archivo. Una vez abiertos, los archivos protegidos con contraseña instalan el troyano de acceso remoto (RAT) Remcos en el sistema de la víctima, dando a los atacantes control remoto de la máquina infectada.
Un elemento clave de esta campaña fue el uso de comentarios de GitHub para cargar archivos maliciosos. Los desarrolladores suelen utilizar los comentarios de GitHub para comunicarse sobre el contenido del repositorio o sugerir cambios o problemas de documentación. Sin embargo, los atacantes aprovecharon esta característica cargando archivos cargados de malware en los comentarios en lugar del código fuente del repositorio, lo que les permitió eludir los protocolos de seguridad habituales y garantizar que el malware permaneciera oculto.
Incluso si se elimina el comentario original que contiene el enlace del malware, el malware permanece accesible a través del directorio de archivos del repositorio. Este método se ha utilizado antes, sobre todo con el malware Redline Stealer, pero esta campaña representa una escalada significativa en el uso de comentarios de GitHub como medio para distribuir malware.
La campaña se dirigió principalmente a los sectores financiero y de seguros, ya que ambos sectores son particularmente vulnerables durante la temporada de impuestos, ya que manejan un gran volumen de datos financieros confidenciales.
Parece que los atacantes estaban tanteando el terreno con una campaña más pequeña centrada en estas dos industrias. Las campañas de phishing anteriores que utilizaban técnicas como códigos QR tenían objetivos más amplios, pero el enfoque más limitado de este ataque sugiere que los actores de amenazas estaban experimentando con el método basado en GitHub antes de expandirse.
Las campañas de phishing siguen siendo uno de los métodos más persistentes y eficaces utilizados por los ciberdelincuentes para obtener acceso no autorizado a información confidencial.
Estos ataques suelen implicar suplantación de identidad. Correos electrónicos O mensajes que engañan a los usuarios para que hagan clic en enlaces maliciosos, descarguen archivos adjuntos maliciosos o revelen detalles personales.
Con el paso de los años, las técnicas de phishing han evolucionado, volviéndose más sofisticadas y difíciles de detectar. Los ciberdelincuentes ahora aprovechan las plataformas confiables, ocultan intenciones maliciosas detrás de mensajes aparentemente legítimos y utilizan técnicas avanzadas de ingeniería social.