Os criminosos têm abusado de serviços de repositório de código, como o GitHub, para alojar uma variedade de domínios de phishing para fazer com que os seus alvos acreditem que as páginas são fidedignas uma vez que estão alojadas sobre os domínios dos repositórios.
Ao usar serviços conhecidos como Dropbox, Google Drive, Paypal, eBay e Facebook, os invasores conseguem ignorar (bypass) listas de permissões (white-lists) e políticas/firewalls de rede.
A Proofpoint identificou uma série de atividades maliciosas que visam utilizadores de várias organizações.
Em baixo fica um exemplo de um kit de phishing disponível no serviço GitHub que rouba credenciais de autenticação no portal de um banco.
Os agentes de ameaça usam as páginas baseadas no github.io para fazer as vítimas acreditarem que elas são de fonte confiável e para contornar as soluções tradicionais de segurança. A página de phishing usa o logotipo da marca roubada e o respetivo CSS.
“In most cases of GitHub abuse described here, threat actors establish a canonical code repository site within the github.io canonical domain that resembles the brand they are abusing”, reads Proofpoint blog post.
app-l0gin- [.] github [.] io
A análise do código-fonte revela que o script HTML está um pouco ofuscado e as credenciais das vítimas são enviadas para outro servidor comprometido que está sob o controlo dos criminosos.
Attackers use public GitHub landing page with PHP script loaded from remote servers.
Some threat actors use github.io domain only as a traffic redirector, “we were able to observe when actors made changes to their hosted web pages and most kits are not written from scratch and are instead simply modified by different actors.”
A Proofpoint denunciou o caso ao GitHub e todas as contas de phishing foram removidas pelo GitHub.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.