Attori di malware che abusano della piattaforma GitHub per conservare i kit di phishing

Negli ultimi anni è stata pratica comune per i criminali informatici ospitare kit dannosi su social network e piattaforme di cloud storage consumer come Facebook, Dropbox, Paypal, eBay e Google Drive. utilizzo di tali domini consente di aggirare le whitelist e le difese della rete in modo che gli operatori di malware possano fondere le proprie attività al interno del traffico web legittimo e raggiungere facilmente i propri obiettivi.

Nel aprile 2019, i ricercatori hanno scoperto che almeno dalla metà del 2017 gli attori malintenzionati hanno anche abusato della popolare piattaforma di hosting del codice GitHub per archiviare i kit di phishing sul dominio $ github_username.github.io. I phisher utilizzavano repository di codice gratuito GitHub, quindi gli esperti di cybersicurezza potevano monitorare e analizzare tutte le loro azioni. È stato osservato che i criminali personalizzavano i kit di phishing in base ai loro scopi specifici, ad esempio, venivano aggiornati gli indicatori di compromesso inclusi i collegamenti abbreviati o le pagine di destinazione venivano modificate per aggirare le limitazioni di GitHub utilizzando uno script PHP ospitato su un dominio remoto invece di quello locale per il kit.

Uno dei kit di phishing che reindirizzava gli utenti tramite e-mail di spam a pagine di destinazione dannose ospitate su GitHub era stato progettato per rubare le credenziali ai clienti di una banca al dettaglio. I ricercatori hanno anche scoperto che le credenziali e le altre informazioni sensibili raccolte dai kit di phishing sono state quindi inviate ad altri server compromessi controllati dalle stesse persone che possedevano i corrispondenti account GitHub. Inoltre, github.io non offre servizi di back-end PHP, quindi i kit di phishing archiviati sulla piattaforma non includevano strumenti basati su PHP.

I ricercatori hanno affermato che GitHub è stato estremamente reattivo nel correggere abuso del proprio sistema e che tutti gli account scoperti coinvolti nelle campagne di phishing sono già stati rimossi.

Simile al caso GitHub, nel febbraio 2019, un altro strumento di phishing mascherato da Google Translate sui dispositivi mobili ha tentato di rubare i dettagli di accesso a Facebook e Google. Anche archiviazione BLOB di Azure di Microsoft è stata utilizzata in modo analogo: gli hacker hanno cercato di sottrarre le credenziali di Microsoft Office 365, Outlook, Azure AD e Microsoft rendendo le pagine di destinazione compromesse legittime attraverso uso dei certificati SSL Microsoft validi del sottodominio di windows.net.