Foi observada uma nova campanha de malware com tema fiscal direcionada aos setores de seguros e finanças, aproveitando hyperlinks do GitHub em mensagens de e-mail de phishing como uma forma de contornar as medidas de segurança e entregar o Remcos RAT, indicando que o método está ganhando força entre os atores da ameaça.
“Nesta campanha, repositórios legítimos, como o software program de declaração de impostos de código aberto, UsTaxes, HMRC e InlandRevenue, foram usados em vez de repositórios desconhecidos e com poucas estrelas”, disse o pesquisador da Cofense, Jacob Malimban.
“Usar repositórios confiáveis para entregar malware é relativamente novo em comparação com os agentes de ameaças que criam seus próprios repositórios GitHub maliciosos. Esses hyperlinks maliciosos do GitHub podem ser associados a qualquer repositório que permita comentários.”
No centro da cadeia de ataque está o abuso da infraestrutura do GitHub para preparar cargas maliciosas. Uma variação da técnica, divulgada pela primeira vez pela OALABS Analysis em março de 2024, envolve agentes de ameaças abrindo um problema do GitHub em repositórios conhecidos e enviando para ele uma carga maliciosa e, em seguida, fechando o problema sem salvá-lo.
Ao fazer isso, descobriu-se que o malware carregado persiste mesmo que o problema nunca seja salvo, um vetor que se tornou propício para abusos, pois permite que os invasores carreguem qualquer arquivo de sua escolha e não deixem nenhum rastro, exceto o hyperlink para o próprio arquivo.
A abordagem foi transformada em arma para induzir os usuários a baixar um carregador de malware baseado em Lua que é capaz de estabelecer persistência em sistemas infectados e entregar cargas adicionais, conforme detalhado pela Morphisec esta semana.
A campanha de phishing detectada pela Cofense emprega uma tática semelhante, a única diferença é que utiliza comentários do GitHub para anexar um arquivo (ou seja, o malware), após o qual o comentário é excluído. Assim como no caso citado, o hyperlink permanece ativo e é propagado through e-mails de phishing.
“E-mails com hyperlinks para o GitHub são eficazes para contornar a segurança do SEG porque o GitHub normalmente é um domínio confiável”, disse Malimban. “Os hyperlinks do GitHub permitem que os agentes de ameaças se conectem diretamente ao arquivo de malware no e-mail sem ter que usar redirecionamentos do Google, códigos QR ou outras técnicas de desvio de SEG.”
O desenvolvimento ocorre no momento em que a Barracuda Networks revela novos métodos adotados por phishers, incluindo códigos QR baseados em ASCII e Unicode e URLs de blob como uma forma de dificultar o bloqueio de conteúdo malicioso e evitar a detecção.
“Um URI de blob (também conhecido como URL de blob ou URL de objeto) é usado por navegadores para representar dados binários ou objetos semelhantes a arquivos (chamados de blobs) que são mantidos temporariamente na memória do navegador”, disse o pesquisador de segurança Ashitosh Deshnur.
“Os URIs de blob permitem que os desenvolvedores da Internet trabalhem com dados binários, como imagens, vídeos ou arquivos, diretamente no navegador, sem precisar enviá-los ou recuperá-los de um servidor externo.”
Também segue uma nova pesquisa da ESET que os agentes de ameaças por trás do equipment de ferramentas Telekopye Telegram expandiram seu foco além dos golpes de mercado on-line para atingir plataformas de reserva de acomodação como Reserving.com e Airbnb, com um aumento acentuado detectado em julho de 2024.
Os ataques são caracterizados pela utilização de contas comprometidas de hotéis e fornecedores de alojamento legítimos para contactar potenciais alvos, alegando supostos problemas com o pagamento da reserva e induzindo-os a clicar num hyperlink falso que os solicita a inserir as suas informações financeiras.
“Ao usar o acesso a essas contas, os golpistas identificam os usuários que reservaram uma estadia recentemente e ainda não pagaram – ou pagaram muito recentemente – e os contatam por meio de bate-papo na plataforma”, disseram os pesquisadores Jakub Souček e Radek Jizba. “Dependendo da plataforma e das configurações do Mammoth, isso faz com que o Mammoth receba um e-mail ou SMS da plataforma de reserva.”
“Isso torna o golpe muito mais difícil de detectar, pois as informações fornecidas são pessoalmente relevantes para as vítimas, chegam através do canal de comunicação esperado e os websites falsos vinculados têm a aparência esperada”.
Além disso, a diversificação da pegada da vitimologia foi complementada por melhorias no equipment de ferramentas que permitem aos grupos de golpistas acelerar o processo de fraude usando a geração automatizada de páginas de phishing, melhorar a comunicação com os alvos através de chatbots interativos, proteger websites de phishing contra interrupções por parte dos concorrentes, e outros objetivos.
As operações da Telekopye não ocorreram sem alguns contratempos. Em dezembro de 2023, autoridades policiais da República Tcheca e da Ucrânia anunciaram a prisão de vários cibercriminosos que teriam usado o bot malicioso do Telegram.
“Programadores criaram, atualizaram, mantiveram e melhoraram o funcionamento dos bots e ferramentas de phishing do Telegram, além de garantirem o anonimato dos cúmplices na web e fornecerem conselhos sobre como ocultar atividades criminosas”, disse a Polícia da República Tcheca em comunicado no tempo.
“Os grupos em questão eram geridos, a partir de espaços de trabalho dedicados, por homens de meia-idade da Europa Oriental e da Ásia Ocidental e Central”, disse a ESET. “Eles recrutaram pessoas em situações de vida difíceis, através de anúncios em portais de emprego que prometiam 'dinheiro fácil', bem como visando estudantes estrangeiros tecnicamente qualificados nas universidades.”
