Nova Kampaća Prijenosa Malwarea Koristeći GitHub Repozitorije
U novoj kampanji krađe podataka koju je otkrio Cofense Intelligence, zlonamjerni subjekti su usvojili inovativan pristup oslanjajući se na povjerljive GitHub repozitorije kako bi distribuirali malware. Ova kampanja ima za cilj iskoristiti povjerenje koje mnoge organizacije polažu u GitHub kao platformu za programere. Umjesto da kreiraju zlonamjerne repozitorije, napadači su odlučili integrirati malware u legitimne repozitorije povezane s poreznim organizacijama poput UsTaxes, HMRC i Inland Revenue.
Kako Napadi Smanjuju Sigurnosne Prepreke
Ovaj pristup im je omogućio zaobilaženje zaštitnih sustava Secure Email Gateway (SEG), predstavljajući značajan izazov za kibernetičke obrane. Napad je također iskoristio osjećaj hitnosti vezan uz podnošenje poreznih prijava nakon aprilske granice u SAD-u. E-mailovi povezani s kampanjom sadržavali su poveznice na arhive smještene na GitHubu. Za razliku od tradicionalnih phishing napada koji se oslanjaju na sumnjive poveznice ili privitke, ovi su e-mailovi izgledali uvjerljivo jer su korišteni legitimni i poznati GitHub repozitoriji.
- Arhive povezane u e-mailovima bile su zaštićene lozinkom, što je dodatno pojačalo dojam legitimnosti.
- Ova zaštita otežava malware skenerima da otkriju i ispitaju sadržaj arhive.
Nakon otvaranja, datoteke zaštićene lozinkom instaliraju Remcos Remote Access Trojan (RAT) na sustav žrtve, omogućujući napadačima daljinsku kontrolu nad zaraženim uređajem.
Korištenje GitHub Komentara za Distribuciju Malwarea
Jedna od ključnih komponenti ove kampanje bila je upotreba komentara na GitHubu za učitavanje zlonamjernih datoteka. Komentari na GitHubu obično se koriste od strane programera za komunikaciju o sadržaju repozitorija, predlaganje promjena ili dokumentiranje problema. Međutim, napadači su iskoristili ovu značajku učitavajući datoteke zaražene malwareom unutar komentara umjesto izvornog koda repozitorija, omogućavajući im da zaobiđu uobičajene sigurnosne protokole i osiguraju da malware ostane prikriven.
Čak i ako je izvorni komentar koji sadrži poveznicu na malware obrisan, malware je ostao dostupan putem direktorija datoteka repozitorija. Ova metoda već je korištena ranije, najpoznatija s malwareom Redline Stealer, no ova kampanja predstavlja značajno povećanje upotrebe GitHub komentara kao vektora distribucije malwarea.
Ciljane Industrije i Potencijalne Posljedice
Kampanja je prvenstveno usmjerena na financijsku i osiguravateljsku industriju, koja je tijekom poreznih sezona posebno ranjiva jer obrađuje veliku količinu osjetljivih financijskih podataka. Čini se da su napadači provodili manju kampanju fokusirajući se na ta dva sektora. Prethodne phishing kampanje koje su koristile tehnike poput QR kodova imale su šire ciljeve, no usmjeravanje ovog napada sugerira da su zlonamjernici eksperimentirali s metodom zasnovanom na GitHubu prije nego su je u velikoj mjeri proširili.
Zaključak: Oprez U Digitalnom Prostoru
Kampanje phishinga ostaju jedna od najupornijih i najučinkovitijih taktika koje koriste kibernetički kriminalci za sticanje neovlaštenog pristupa osjetljivim informacijama. Ove napade često prate obmanjujući e-mailovi ili poruke koje korisnike navode na klik na zlonamjerne poveznice, preuzimanje štetnih privitaka ili otkrivanje osobnih podataka. Tijekom godina, tehnike phishinga su se razvijale, postajući sofisticiranije i teže uočljive. Kibernetički kriminalci sada koriste povjerljive platforme, prikrivaju zlonamjerne namjere iza legitimno izgleda poruka i koriste napredne tehnike socijalnog inženjeringa.
Budite oprezni i provjeravajte izvore, osobito kada je u pitanju preuzimanje datoteka ili interakcija putem platformi kojima se pouzdavate.
