Pesquisadores em segurança cibernética alertaram sobre uma nova ferramenta chamada GoIssue que está sendo usada para campanhas de phishing direcionadas em larga escala contra desenvolvedores no GitHub. Desenvolvida por um ator malicioso conhecido como cyberdluffy (ou Cyber D’ Luffy), a ferramenta foi lançada no fórum Runion em agosto de 2024. O GoIssue permite extrair endereços de email de perfis públicos do GitHub e enviar emails em massa diretamente para as caixas de entrada de usuários.
Com o objetivo de facilitar a abordagem a comunidades específicas de desenvolvedores, a ferramenta vem sendo promovida como uma maneira precisa e poderosa de alcançar o público-alvo. De acordo com o criador da ferramenta, “o GoIssue pode enviar emails em massa diretamente para os usuários do GitHub, visando qualquer destinatário.”
Um novo risco para desenvolvedores
A empresa de segurança SlashNext destacou o GoIssue como um “marco perigoso no phishing direcionado”, com potencial para facilitar roubo de código-fonte, ataques à cadeia de suprimentos e invasões de redes corporativas, comprometendo credenciais de desenvolvedores.
O GoIssue permite criar campanhas personalizadas de phishing para enganar as proteções de filtro de spam e atingir comunidades de desenvolvedores específicas. O custo da versão personalizada é de US$ 700 (aproximadamente R$ 3.500) e o acesso ao código-fonte completo é oferecido por US$ 3.000 (cerca de R$ 15.000). Desde 11 de outubro de 2024, os preços foram reduzidos para US$ 150 e US$ 1.000, para os primeiros cinco clientes.
Cenários de Ataque
Em um ataque típico, o ator malicioso pode redirecionar vítimas para páginas falsas projetadas para capturar credenciais de login, instalar malware ou autorizar aplicativos OAuth fraudulentos. Ao acessar um repositório privado, esses aplicativos permitem que invasores vejam e até alterem informações confidenciais.
Além disso, o autor do GoIssue está relacionado ao grupo Gitloker Team, anteriormente ligado a campanhas de extorsão no GitHub. O Gitloker se aproveita da confiança dos desenvolvedores, enviando links falsos que se disfarçam de comunicações oficiais do GitHub, como convites de recrutamento. Esses links fraudulentos pedem ao usuário para acessar o GitHub e aprovar novos aplicativos OAuth.
Notícias Relacionadas
Se o desenvolvedor conceder as permissões, o invasor pode apagar conteúdos de repositórios e exibir notas de resgate exigindo contato com o Gitloker pelo Telegram para restaurar os arquivos.
A SlashNext destaca que a capacidade do GoIssue de enviar emails em massa aumenta as chances de brechas de segurança, roubo de dados e comprometimento de projetos de desenvolvedores.
Nova tática com Visio e SharePoint
Paralelamente, a Perception Point relatou uma nova técnica de phishing em duas etapas. Este ataque usa arquivos Microsoft Visio (.vdsx) e SharePoint para roubo de credenciais. Emails fraudulentos, disfarçados de propostas comerciais, são enviados de contas previamente comprometidas para driblar sistemas de autenticação.
Ao clicar no link ou arquivo .eml anexado, a vítima é direcionada a uma página do Microsoft SharePoint com um arquivo Visio que, ao ser acessado, leva a uma página de login falsa do Microsoft 365, onde as credenciais são capturadas.
Esses ataques em duas etapas usam plataformas conhecidas, como SharePoint e Visio, aproveitando-se da confiança dos usuários em ferramentas familiares e dificultando a detecção por sistemas padrão de segurança de email.
