Uma nova campanha de malware temático de impostos voltada para os setores de seguro e finanças tem sido observada utilizando links do GitHub em mensagens de email de phishing como forma de contornar medidas de segurança e entregar o Remcos RAT, indicando que o método está ganhando tração entre os atores de ameaça.
"Nesta campanha, foram utilizados repositórios legítimos como o software de preenchimento de impostos de código aberto, UsTaxes, HMRC e InlandRevenue em vez de repositórios desconhecidos e com poucas estrelas", disse o pesquisador da Cofense, Jacob Malimban.
Usar repositórios confiáveis para entregar malware é relativamente novo em comparação com atores de ameaças criando seus próprios repositórios maliciosos no GitHub.
Esses links maliciosos do GitHub podem ser associados a qualquer repositório que permita comentários.
Central para a cadeia de ataque é o abuso da infraestrutura do GitHub para o armazenamento dos payloads maliciosos.
Uma variação da técnica, primeiro divulgada pela OALABS Research em março de 2024, envolve atores de ameaça abrindo um issue no GitHub em repositórios bem conhecidos e fazendo upload de um payload malicioso, e então fechando o issue sem salvá-lo.
Foi descoberto que, ao fazer isso, o malware carregado persiste mesmo que o issue nunca seja salvo, um vetor que se tornou propício para abuso, pois permite aos atacantes carregar qualquer arquivo de sua escolha e não deixar nenhum rastro exceto pelo link para o próprio arquivo.
A abordagem foi armada para enganar os usuários a fazerem o download de um loader de malware baseado em Lua que é capaz de estabelecer persistência em sistemas infectados e entregar payloads adicionais, conforme detalhado pela Morphisec esta semana.
A campanha de phishing detectada pela Cofense emprega uma tática similar, a única diferença sendo que utiliza comentários do GitHub para anexar um arquivo (ou seja, o malware), após o qual o comentário é deletado.
Como no caso anterior, o link permanece ativo e é propagado via emails de phishing.
"Emails com links para o GitHub são eficazes em contornar a segurança do SEG porque o GitHub é tipicamente um domínio confiável", disse Malimban.
Links do GitHub permitem que atores de ameaças vinculem diretamente ao arquivo de malware no email sem precisar usar redirecionamentos do Google, QR codes ou outras técnicas de bypass do SEG.
O desenvolvimento ocorre enquanto a Barracuda Networks revelou métodos novos adotados por phishers, incluindo QR codes baseados em ASCII e Unicode e blob URLs como uma forma de tornar mais difícil bloquear conteúdo malicioso e evadir detecção.
"Um URI blob (também conhecido como blob URL ou object URL) é usado pelos navegadores para representar dados binários ou objetos semelhantes a arquivos (chamados blobs) que são temporariamente mantidos na memória do navegador", disse o pesquisador de segurança Ashitosh Deshnur.
URIs blob permitem que desenvolvedores web trabalhem com dados binários como imagens, vídeos ou arquivos diretamente dentro do navegador, sem precisar enviar ou recuperar de um servidor externo.
Isso também segue uma nova pesquisa da ESET que os atores de ameaça por trás do kit de ferramentas do Telegram Telekopye expandiram seu foco além de golpes de marketplace online para direcionar plataformas de reserva de acomodações como Booking.com e Airbnb, com um acentuado aumento detectado em julho de 2024.
Os ataques são caracterizados pelo uso de contas comprometidas de hotéis legítimos e fornecedores de acomodações para contatar alvos potenciais, alegando supostos problemas com o pagamento da reserva e induzindo-os a clicar em um link falso que os leva a inserir suas informações financeiras.
"Usando seu acesso a essas contas, os golpistas singularizam usuários que recentemente reservaram uma estadia e ainda não pagaram – ou pagaram muito recentemente – e os contatam via chat na plataforma", disseram os pesquisadores Jakub Souček e Radek Jizba.
Dependendo da plataforma e das configurações do Mammoth, isso leva ao Mammoth receber um email ou SMS da plataforma de reservas.
Isso torna o golpe muito mais difícil de ser identificado, pois a informação fornecida é pessoalmente relevante para as vítimas, chega pelo canal de comunicação esperado e os sites falsos vinculados parecem como esperado.
Além disso, a diversificação do perfil das vítimas foi complementada por melhorias no kit de ferramentas que permitem aos grupos de golpistas acelerar o processo do golpe usando geração automática de páginas de phishing, melhorar a comunicação com os alvos via chatbots interativos, proteger sites de phishing contra interrupções por competidores, e outros objetivos.
As operações do Telekopye não ocorreram sem seus contratempos.
Em dezembro de 2023, oficiais de aplicação da lei da Tchéquia e da Ucrânia anunciaram a prisão de vários cibercriminosos alegados de usar o bot malicioso do Telegram.
"Programadores criaram, atualizaram, mantiveram e melhoraram o funcionamento dos bots do Telegram e ferramentas de phishing, além de assegurar o anonimato dos cúmplices na internet e fornecer conselhos sobre ocultar atividades criminosas", disse a Polícia da República Tcheca em um comunicado na época.
"Os grupos em questão eram gerenciados, a partir de espaços de trabalho dedicados, por homens de meia-idade do Leste Europeu e da Ásia Ocidental e Central", disse a ESET.
Eles recrutavam pessoas em situações de vida difíceis, através de anúncios em portais de emprego prometendo 'dinheiro fácil', assim como mirando estudantes estrangeiros tecnicamente habilidosos nas universidades.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...