Malware Actors Abuse GitHub Platform to Store Phishing Kits

近年來，網絡犯罪分子通常在社交網絡和消費者云存儲平台（如Facebook，Dropbox，Paypal，eBay和Google Drive）上託管惡意工具包。使用此類域可以繞過白名單和網絡防禦，以便惡意軟件操作員可以在合法的Web流量中混合他們的活動並輕鬆地到達目標。

在2019年4月，研究人員發現，至少自2017年年中以來，惡意行為者還濫用流行的GitHub代碼託管平台在$ github_username.github.io域上存儲網絡釣魚工具包。網絡釣魚者使用GitHub免費代碼庫，因此網絡安全專家可以監控和分析他們的所有行為。據觀察，騙子根據其特定目的定制了網絡釣魚工具包，例如，更新了包括縮短鏈接在內的折衷指標，或者修改了登錄頁面以通過使用託管在遠程域上的PHP腳本來繞過GitHub限製而不是套件當地的一個。

其中一個網絡釣魚工具包將用戶通過垃圾郵件重定向到GitHub上託管的惡意登陸頁面， 旨在竊取零售銀行客戶的憑據 。研究人員還發現，網絡釣魚工具包收集的憑據和其他敏感信息隨後被發送到由擁有相應GitHub帳戶的同一人控制的其他受感染服務器。此外，github.io不提供PHP後端服務，因此存儲在平台上的網絡釣魚工具包不包含基於PHP的工具。

研究人員表示，GitHub在修復系統濫用方面反應極為迅速，所有已發現的網絡釣魚活動中涉及的帳戶都已被刪除。

與GitHub案件類似，在2019年2月，另一個在移動設備上偽裝成谷歌翻譯的網絡釣魚工具試圖竊取Facebook和谷歌的登錄細節。微軟的Azure Blob存儲也以類似的方式被濫用 - 攻擊者試圖通過使用windows.net子域的有效Microsoft SSL證書使受感染的登陸頁面看起來合法，從而竊取Office 365，Outlook，Azure AD和Microsoft帳戶憑據。