Os Distribuidores de Malware Abusam a Plataforma GitHub para Armazenar Kits de Phishing

Nos últimos anos, tem sido uma prática comum os cibercriminosos hospedar kits mal-intencionados em redes sociais e plataformas de armazenamento em nuvem para consumidores, como Facebook, Dropbox, Paypal, eBay e Google Drive. O uso desses domínios permite contornar as listas de permissões e as defesas de rede, de modo que os operadores de malware possam mesclar suas atividades dentro do tráfego legítimo da Web e alcançar facilmente seus objetivos.

Em abril de 2019, os pesquisadores descobriram que pelo menos desde meados de 2017 os agentes maliciosos também abusam da popular plataforma de hospedagem de código do GitHub para armazenar kits de phishing no domínio $ github_username.github.io. Os phishers usavam repositórios de código livre do GitHub, portanto, especialistas em segurança cibernética podiam monitorar e analisar todas as suas ações. Foi observado que os bandidos personalizaram os kits de phishing de acordo com suas finalidades específicas, por exemplo, indicadores de comprometimento incluindo links encurtados foram atualizados, ou páginas de entrada foram modificadas para contornar as limitações do GitHub usando um script PHP hospedado em um domínio remoto o local para o kit.

Um dos kits de phishing que redirecionou os usuários por meio de emails de spam para páginas de aterrissagem maliciosas hospedadas no GitHub foi projetado para roubar credenciais dos clientes de um banco de varejo. Os pesquisadores também descobriram que as credenciais e outras informações confidenciais coletadas pelos kits de phishing eram enviadas para outros servidores comprometidos controlados pelas mesmas pessoas que possuíam as contas correspondentes do GitHub. Além disso, o github.io não oferece serviços de backend PHP, portanto, os kits de phishing armazenados na plataforma não incluíam ferramentas baseadas em PHP.

Pesquisadores afirmaram que o GitHub tem sido extremamente ágil na correção do abuso de seu sistema, e todas as contas descobertas envolvidas nas campanhas de phishing já foram retiradas.

Semelhante ao caso do GitHub, em fevereiro de 2019, outra ferramenta de phishing disfarçada como Google Tradutor em dispositivos móveis tentou roubar os detalhes de login do Facebook e do Google. O Azure Blob Storage da Microsoft também foi usado de maneira semelhante - os invasores tentaram roubar as credenciais de conta do Office 365, Outlook, Azure AD e Microsoft, tornando legítimas as páginas de destino comprometidas com o uso de certificados Microsoft SSL válidos do subdomínio windows.net.