Malware Actors Abuse GitHub Platform to Store Phishing Kits

近年来，网络犯罪分子通常在社交网络和消费者云存储平台（如Facebook，Dropbox，Paypal，eBay和Google Drive）上托管恶意工具包。使用此类域可以绕过白名单和网络防御，以便恶意软件操作员可以在合法的Web流量中混合他们的活动并轻松地到达目标。

在2019年4月，研究人员发现，至少自2017年年中以来，恶意行为者还滥用流行的GitHub代码托管平台在$ github_username.github.io域上存储网络钓鱼工具包。网络钓鱼者使用GitHub免费代码库，因此网络安全专家可以监控和分析他们的所有行为。据观察，骗子根据其特定目的定制了网络钓鱼工具包，例如，更新了包括缩短链接在内的折衷指标，或者修改了登录页面以通过使用托管在远程域上的PHP脚本来绕过GitHub限制而不是套件当地的一个。

其中一个网络钓鱼工具包将用户通过垃圾邮件重定向到GitHub上托管的恶意登陆页面， 旨在窃取零售银行客户的凭据 。研究人员还发现，网络钓鱼工具包收集的凭据和其他敏感信息随后被发送到由拥有相应GitHub帐户的同一人控制的其他受感染服务器。此外，github.io不提供PHP后端服务，因此存储在平台上的网络钓鱼工具包不包含基于PHP的工具。

研究人员表示，GitHub在修复系统滥用方面反应极为迅速，所有已发现的网络钓鱼活动中涉及的帐户都已被删除。

与GitHub案件类似，在2019年2月，另一个在移动设备上伪装成谷歌翻译的网络钓鱼工具试图窃取Facebook和谷歌的登录细节。微软的Azure Blob存储也以类似的方式被滥用 - 攻击者试图通过使用windows.net子域的有效Microsoft SSL证书使受感染的登陆页面看起来合法，从而窃取Office 365，Outlook，Azure AD和Microsoft帐户凭据。