Criminosos estão a utilizar o GitHub para alojar páginas de phishing para roubar credenciais das vítimas.

Os criminosos têm abusado de serviços de repositório de código, como o GitHub, para alojar uma variedade de domínios de phishing para fazer com que os seus alvos acreditem que as páginas são fidedignas uma vez que estão alojadas sobre os domínios dos repositórios.

Ao usar serviços conhecidos como Dropbox, Google Drive, Paypal, eBay e Facebook, os invasores conseguem ignorar (bypass) listas de permissões (white-lists) e políticas/firewalls de rede.

A Proofpoint identificou uma série de atividades maliciosas que visam utilizadores de várias organizações.

Em baixo fica um exemplo de um kit de phishing disponível no serviço GitHub que rouba credenciais de autenticação no portal de um banco.

ghf2_blur

Os agentes de ameaça usam as páginas baseadas no github.io para fazer as vítimas acreditarem que elas são de fonte confiável e para contornar as soluções tradicionais de segurança. A página de phishing usa o logotipo da marca roubada e o respetivo CSS.

“In most cases of GitHub abuse described here, threat actors establish a canonical code repository site within the github.io canonical domain that resembles the brand they are abusing”, reads Proofpoint blog post.

 

app-l0gin- [.] github [.] io

 

A análise do código-fonte revela que o script HTML está um pouco ofuscado e as credenciais das vítimas são enviadas para outro servidor comprometido que está sob o controlo dos criminosos.

Attackers use public GitHub landing page with PHP script loaded from remote servers.

 

ghf10

Some threat actors use github.io domain only as a traffic redirector, “we were able to observe when actors made changes to their hosted web pages and most kits are not written from scratch and are instead simply modified by different actors.”

 

A Proofpoint denunciou o caso ao GitHub e todas as contas de phishing foram removidas pelo GitHub.