Uma nova campanha de ataques de phishing está sendo direcionada aos setores de seguros e finanças. Os cibercriminosos estão aproveitando links do GitHub, por exemplo, em mensagens de e-mail de phishing como uma forma de contornar medidas de segurança e entregar o Remcos RAT, indicando que o método está ganhando força entre os agentes de ameaças.
Nova campanha de Phishing
De acordo com o pesquisador da Cofense, Jacob Malimban (Via: The Hacker News), nesta campanha, repositórios legítimos, como o software de declaração de impostos de código aberto, UsTaxes, HMRC e InlandRevenue, foram usados em vez de repositórios desconhecidos e de baixa qualidade.
Usar repositórios confiáveis para entregar malware é relativamente novo comparado a agentes de ameaças que criam seus próprios repositórios maliciosos do GitHub. Esses links maliciosos do GitHub podem ser associados a qualquer repositório que permita comentários.
Central para a cadeia de ataque é o abuso da infraestrutura do GitHub para preparar as cargas maliciosas. Uma variação da técnica, divulgada pela primeira vez pela OALABS Research em março de 2024, envolve agentes de ameaças abrindo um problema do GitHub em repositórios bem conhecidos e enviando para ele uma carga maliciosa e, em seguida, fechando o problema sem salvá-lo. Ao fazer isso, descobriu-se que o malware carregado persiste mesmo que o problema nunca seja salvo, um vetor que se tornou propício para abusos, pois permite que invasores carreguem qualquer arquivo de sua escolha e não deixem nenhum rastro, exceto o link para o próprio arquivo.
Notícias Relacionadas
Telegram
Telegram agora permite que empresas verifiquem números de telefone
O Telegram anunciou esta semana uma atualização com alguns novos recursos. Entre os novos recursos, há um bem interessante. O Telegram agora permitirá que empresas usem o aplicativo para verificação de número de telefone, o que pode ser mais conveniente do que usar métodos como SMS. Empresas agora podem verificar números de telefone via aplicativo […]
Dados Google
Google facilita a proteção dos seus dados em caso de roubo do seu smartphone
O Google está supostamente enviando uma atualização de recurso para alguns telefones Android. O Google estaria adicionando funcionalidades antirroubo, como Theft Detection Lock, Offline Device Lock e Remote Lock, facilitando a proteção dos seus dados em caso de roubo do seu smartphone. Os recursos antirroubo do Google O Remote Lock não é exatamente novo, e […]
A abordagem foi transformada em arma para induzir os usuários a baixar um carregador de malware baseado em Lua que é capaz de estabelecer persistência em sistemas infectados e entregar cargas adicionais, conforme detalhado pela Morphisec esta semana.
A campanha
A campanha de phishing detectada pela Cofense emprega uma tática similar, a única diferença é que ela utiliza comentários do GitHub para anexar um arquivo (ou seja, o malware), após o qual o comentário é deletado. Como no caso acima mencionado, o link permanece ativo e é propagado por e-mails de phishing.
O desenvolvimento ocorre no momento em que a Barracuda Networks revela novos métodos adotados por phishers, incluindo códigos QR baseados em ASCII e Unicode e URLs de blob como uma forma de dificultar o bloqueio de conteúdo malicioso e evitar a detecção.
Também segue uma nova pesquisa da ESET que mostra que os agentes de ameaças por trás do kit de ferramentas Telekopye Telegram expandiram seu foco além dos golpes de mercado online para atingir plataformas de reserva de acomodações como Booking.com e Airbnb, com um aumento acentuado detectado em julho de 2024.
Via: The Hacker News
