Uma nova campanha de malware com tema fiscal direcionada aos setores financeiro e de seguros foi detectada usando links do GitHub em e-mails de phishing como uma forma de contornar as medidas de segurança e entregar o Remcos RAT, indicando que este método está ganhando força entre os atores da ameaça.
“Nesta campanha, foram usados bancos de dados oficiais, como software aberto de declaração de impostos, UsTaxes, HMRC e InlandRevenue, em vez de sites desconhecidos e com poucas estrelas”, disse o pesquisador da Cofense, Jacob Malimban.
“Usar repositórios confiáveis para entregar malware é um fenômeno relativamente novo em comparação com os agentes de ameaças que criam seus próprios repositórios maliciosos no GitHub. Esses links maliciosos no GitHub podem ser associados a qualquer repositório que permita comentários.”
No centro da série de ataques está o abuso da infraestrutura do GitHub para instalar cargas maliciosas. Uma variante desse esquema, divulgada pela primeira vez pela OALABS Research em março de 2024, envolve atores mal-intencionados abrindo um problema do GitHub em um repositório conhecido e carregando uma carga maliciosa para ele, fechando o problema sem salvá-lo.
Ao fazer isso, descobriu-se que o malware enviado persiste mesmo que o problema nunca tenha sido salvo, um vetor que está pronto para abuso, pois permite que os invasores carreguem qualquer arquivo que desejarem e não deixem rastros, exceto um link para ele. o próprio arquivo.
O método tem como objetivo enganar os usuários para que baixem um carregador de malware baseado em Lua, capaz de estabelecer persistência em programas infectados e entregar cargas adicionais, conforme descrito pela Morphisec esta semana.
A campanha de phishing descoberta pela Cofense utiliza uma tática semelhante, a única diferença é que utiliza comentários do GitHub para anexar um arquivo (ou seja, malware), após o qual os comentários são excluídos. Assim como no caso citado acima, o link está sempre ativo e distribuído por meio de e-mails de phishing.
“E-mails com links para o GitHub são eficazes para contornar a segurança do SEG porque o GitHub geralmente é um site confiável”, disse Malimban. “Os links do GitHub permitem que os agentes de ameaças se conectem diretamente ao arquivo de malware em um e-mail sem ter que usar redirecionamentos do Google, códigos QR ou outras técnicas de desvio de SEG.”
O desenvolvimento ocorre no momento em que a Barracuda Networks revela novos métodos adotados pelo phishing, incluindo códigos QR baseados em ASCII e Unicode e URLs de blob como uma forma de dificultar o bloqueio de conteúdo malicioso e evitar a detecção.
“Um URI de blob (também conhecido como URL de blob ou URL de objeto) é usado pelos navegadores para representar dados binários ou objetos semelhantes a arquivos (chamados de blobs) que são armazenados temporariamente na memória do navegador”, disse o pesquisador de segurança Ashitosh Deshnur.
“Os URIs de blob permitem que os desenvolvedores da Web trabalhem com dados binários, como imagens, vídeos ou arquivos, diretamente no navegador, sem precisar enviá-los ou recebê-los de um servidor externo.”
Também segue um novo estudo da ESET que os agentes de ameaças por trás do kit de ferramentas Telekopye Telegram aumentaram seu foco além dos golpes do mercado online para atingir plataformas de reserva de acomodação como Booking.com e Airbnb, que encontraram um aumento acentuado em julho de 2024.
Estes ataques caracterizam-se pela utilização de contas comprometidas de hotéis e fornecedores de alojamento legítimos para contactar potenciais alvos, alegando que têm alegados problemas com pagamentos de reservas e induzindo-os a clicar num link falso que os solicita a inserir as suas informações financeiras.
“Usando o acesso a essas contas, os fraudadores selecionam usuários que reservaram recentemente uma acomodação, mas ainda não pagaram – ou pagaram recentemente – e os contatam através de um chat no local”, disseram os pesquisadores Jakub Souček e Radek Jizba. “Dependendo do estágio e das configurações do Mammoth, isso faz com que o Mammoth receba um e-mail ou SMS da reserva.”
“Isso torna o golpe mais difícil de detectar, pois as informações fornecidas são específicas das vítimas, passam por um canal de comunicação esperado e os sites falsos vinculados têm a aparência esperada”.
Além disso, a diversidade da pegada da vitimologia tem sido acompanhada pelo desenvolvimento de um conjunto de ferramentas que permitem aos grupos fraudulentos acelerar o processo de fraude através da geração de uma página de phishing, melhorar a comunicação com os alvos através da utilização de chatbots interactivos, proteger websites de phishing contra interferência de concorrentes e outros objetivos.
O desempenho do Telekopye não foi sem interrupções. Em dezembro de 2023, autoridades policiais na República Tcheca e na Ucrânia anunciaram a prisão de vários cibercriminosos suspeitos de usar um bot malicioso do Telegram.
“Os editores criaram, atualizaram, mantiveram e melhoraram a funcionalidade dos bots e ferramentas de phishing do Telegraph, bem como garantiram o anonimato dos seus parceiros online e forneceram dicas para ocultar atividades criminosas”, afirmou a polícia da República Checa num comunicado. a hora.
“Os grupos em questão eram dirigidos, em locais de trabalho dedicados, por homens de meia-idade da Europa Oriental e da Ásia Ocidental e Central”, disse a ESET. “Eles empregam pessoas em situações de vida difíceis, utilizando um local de trabalho que promete 'dinheiro fácil' e visando estudantes estrangeiros com competências técnicas nas universidades.”
