Pesquisadores de cibersegurança estão alertando sobre uma nova ferramenta sofisticada chamada GoIssue, que pode ser usada para enviar mensagens de phishing em massa visando usuários do GitHub.
O programa, primeiramente divulgado por um ator de ameaças chamado cyberdluffy (também conhecido como Cyber D' Luffy) no fórum Runion no início de agosto, é promovido como uma ferramenta que permite a criminosos extrair endereços de e-mail de perfis públicos do GitHub e enviar e-mails em massa diretamente para as caixas de entrada dos usuários.
"Se você está mirando alcançar uma audiência específica ou expandir seu alcance, o GoIssue oferece a precisão e potência que você precisa", afirmou o ator de ameaça em sua postagem.
O GoIssue pode enviar e-mails em massa para usuários do GitHub, diretamente para suas caixas de entrada, visando qualquer destinatário.
A SlashNext disse que a ferramenta marca uma "mudança perigosa em phishing direcionado" que pode atuar como uma porta de entrada para roubo de código-fonte, ataques à cadeia de suprimentos e violações de redes corporativas através de credenciais de desenvolvedores comprometidas.
"Com essa informação, os atacantes podem lançar campanhas de e-mail em massa personalizadas projetadas para burlar filtros de spam e visar comunidades específicas de desenvolvedores," disse a empresa.
Uma versão personalizada do GoIssue está disponível por $700.
Alternativamente, os compradores podem obter acesso completo ao seu código-fonte por $3.000.
Até 11 de outubro de 2024, os preços foram reduzidos para $150 e $1.000 para a construção personalizada e o código-fonte completo para "os primeiros 5 clientes".
Em um cenário hipotético de ataque, um ator de ameaça poderia usar este método para redirecionar vítimas para páginas falsas que visam capturar suas credenciais de login, baixar malware ou autorizar um aplicativo OAuth falso que solicita acesso aos seus repositórios privados e dados.
Outra faceta de cyberdluffy que merece atenção é seu perfil no Telegram, onde eles afirmam ser um "membro da equipe Gitloker".
Gitloker foi anteriormente atribuído a uma campanha de extorsão focada no GitHub que envolvia enganar usuários a clicar em um link armadilhado, se passando pelas equipes de segurança e recrutamento do GitHub.
Os links são enviados dentro de mensagens de e-mail que são disparadas automaticamente pelo GitHub após as contas de desenvolvedores serem etiquetadas em comentários spam em questões abertas aleatórias ou pull requests usando contas já comprometidas.
As páginas fraudulentas instruem-nas a fazer login em suas contas GitHub e autorizar um novo aplicativo OAuth para se candidatar a novos empregos.
Caso o desenvolvedor desatento conceda todas as permissões solicitadas ao aplicativo OAuth malicioso, os atores de ameaça procedem com a limpeza de todo o conteúdo do repositório e substituem por uma nota de resgate que insta a vítima a contatar uma persona chamada Gitloker no Telegram.
"A capacidade do GoIssue de enviar esses e-mails direcionados em massa permite que os atacantes escalem suas campanhas, impactando milhares de desenvolvedores de uma só vez", disse a SlashNext.
Isso aumenta o risco de violações bem-sucedidas, roubo de dados e projetos comprometidos. Esse desenvolvimento ocorre enquanto a Perception Point delineou um novo ataque de phishing em duas etapas que emprega arquivos Microsoft Visio (.vdsx) e SharePoint para sifonar credenciais.
As mensagens de e-mail se passam por uma proposta comercial e são enviadas de contas de e-mail previamente violadas para burlar verificações de autenticação.
"Clicar na URL fornecida no corpo do e-mail ou dentro do arquivo .eml anexado leva a vítima a uma página do Microsoft SharePoint hospedando um arquivo Visio (.vsdx)", disse a empresa.
A conta do SharePoint usada para carregar e hospedar os arquivos .vdsx é frequentemente comprometida também. Presente dentro do arquivo Visio está outro link clicável que, em última análise, leva a vítima a uma página falsa de login do Microsoft 365 com o objetivo final de colher suas credenciais.
"Ataques de phishing em duas etapas que exploram plataformas e formatos de arquivo confiáveis como SharePoint e Visio estão se tornando cada vez mais comuns", acrescentou a Perception Point.
Essas táticas de evasão em múltiplas camadas exploram a confiança do usuário em ferramentas familiares enquanto evitam a detecção por plataformas de segurança de e-mail padrão.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...