- Репозитории Github заражены вредоносным ПО
- Доверенные репозитории могут обходить безопасные веб-шлюзы.
- Комментарии Github также используются для сокрытия вредоносных файлов.
В новой фишинговой кампании, обнаруженной Cofense Intelligence, злоумышленники использовали новый подход, используя надежные репозитории GitHub для распространения вредоносного ПО. Цель кампании — повысить доверие, которое многие организации оказывают GitHub как платформе для разработчиков.
Вместо создания вредоносных репозиториев злоумышленники решили внедрить вредоносное ПО в законные репозитории, связанные с налоговыми организациями, такими как UsTaxes, HMRC и Inland Revenue.
Это позволило им обойти защиту Secure Email Gateway (SEG), что создало серьезную проблему для защиты кибербезопасности. В атаке также использовалось чувство срочности, связанное с подачей налоговой декларации после апрельского крайнего срока в США.
Фишинговая тактика – злоупотребление доверенными репозиториями
Электронные письма, связанные с кампанией, содержали ссылки на архивы, размещенные на GitHub. В отличие от традиционных фишинговых атак, основанных на подозрительных ссылках или вложениях, эти электронные письма выглядели заслуживающими доверия, поскольку используемые репозитории GitHub были законными, хорошо известными и могли обходить Secure Web Gateways.
Архивные файлы, ссылки на которые содержатся в электронных письмах, были защищены паролем — тактика, призванная создать впечатление легитимности. Эта защита также затруднила обнаружение и проверку содержимого архива сканерами вредоносных программ. После открытия файлы, защищенные паролем, устанавливали в систему жертвы трояна Remcos Remote Access (RAT), что позволяло злоумышленникам удаленно управлять зараженным устройством.
Ключевой частью этой кампании было использование комментариев GitHub для загрузки вредоносных файлов. Комментарии GitHub обычно используются разработчиками, чтобы сообщить о содержимом репозитория, предложить изменения или документировать проблемы. Однако злоумышленники воспользовались этой возможностью, загрузив в комментарии файлы, содержащие вредоносное ПО, вместо исходного кода репозитория. Это позволило им обойти стандартные протоколы безопасности и гарантировать, что вредоносное ПО останется скрытым.
Даже если исходный комментарий, содержащий ссылку на вредоносную программу, был удален, сама вредоносная программа оставалась доступной через файловый каталог репозитория. Этот метод использовался и раньше, особенно с вредоносным ПО Redline Stealer, но эта кампания представляет собой значительную эскалацию использования комментариев GitHub в качестве вектора распространения вредоносного ПО.
Кампания в первую очередь была нацелена на финансовую и страховую отрасли, причем оба сектора особенно уязвимы во время налогового сезона, поскольку они обрабатывают большие объемы конфиденциальных финансовых данных.
Злоумышленники, похоже, проверили почву, проведя небольшую кампанию, ориентированную на эти две отрасли. Предыдущие фишинговые кампании с использованием таких методов, как QR-коды, преследовали более широкие цели, но более узкая направленность этой атаки позволяет предположить, что злоумышленники экспериментировали с методом на основе GitHub, прежде чем активизировать свои атаки.
Фишинговые кампании остаются одной из наиболее устойчивых и эффективных тактик, используемых киберпреступниками для получения несанкционированного доступа к конфиденциальной информации.
Эти атаки обычно включают в себя мошеннические электронные письма или сообщения, которые заставляют пользователей переходить по вредоносным ссылкам, загружать вредоносные вложения или предоставлять личную информацию.
С годами методы фишинга развивались, становясь все более изощренными и их труднее обнаружить. Киберпреступники сегодня используют надежные платформы, маскируют злонамеренные намерения за законными сообщениями и используют передовые методы социальной инженерии.
Вам также может понравиться это
