Se ha observado una nueva campaña de malware con temática fiscal dirigida a los sectores de seguros y finanzas que aprovecha los enlaces de GitHub en mensajes de correo electrónico de phishing como una forma de eludir las medidas de seguridad y entregar Remcos RAT, lo que indica que el método está ganando terreno entre los actores de amenazas.
“En esta campaña, se utilizaron repositorios legítimos como el software de declaración de impuestos de código abierto, UsTaxes, HMRC e InlandRevenue en lugar de repositorios desconocidos y de baja estrella”, dijo el investigador de Cofense, Jacob Malimban.
“El uso de repositorios confiables para distribuir malware es relativamente nuevo en comparación con los actores de amenazas que crean sus propios repositorios maliciosos de GitHub. Estos enlaces maliciosos de GitHub se pueden asociar con cualquier repositorio que permita comentarios”.
Un elemento central de la cadena de ataques es el abuso de la infraestructura de GitHub para organizar las cargas maliciosas. Una variación de la técnica, divulgada por primera vez por OALABS Research en marzo de 2024, implica que los actores de amenazas abran un problema de GitHub en repositorios conocidos y carguen en él una carga útil maliciosa, y luego cierren el problema sin guardarlo.
Al hacerlo, se descubrió que el malware cargado persiste a pesar de que el problema nunca se guarda, un vector que se ha vuelto propicio para el abuso ya que permite a los atacantes cargar cualquier archivo de su elección y no dejar ningún rastro excepto el enlace a el archivo en sí.
El enfoque se ha utilizado como arma para engañar a los usuarios para que descarguen un cargador de malware basado en Lua que es capaz de establecer persistencia en sistemas infectados y entregar cargas útiles adicionales, como detalló Morphisec esta semana.
La campaña de phishing detectada por Cofense emplea una táctica similar, con la única diferencia de que utiliza comentarios de GitHub para adjuntar un archivo (es decir, el malware), tras lo cual el comentario se elimina. Como en el caso anterior, el enlace permanece activo y se propaga a través de correos electrónicos de phishing.
“Los correos electrónicos con enlaces a GitHub son eficaces para eludir la seguridad de SEG porque GitHub suele ser un dominio confiable”, dijo Malimban. “Los enlaces de GitHub permiten a los actores de amenazas vincularse directamente al archivo de malware en el correo electrónico sin tener que utilizar redireccionamientos de Google, códigos QR u otras técnicas de derivación de SEG”.
El desarrollo se produce cuando Barracuda Networks reveló métodos novedosos adoptados por los phishers, incluidos códigos QR basados en ASCII y Unicode y URL de blob como una forma de dificultar el bloqueo de contenido malicioso y evadir la detección.
“Los navegadores utilizan un URI de blob (también conocido como URL de blob o URL de objeto) para representar datos binarios u objetos similares a archivos (llamados blobs) que se mantienen temporalmente en la memoria del navegador”, dijo el investigador de seguridad Ashitosh Deshnur.
“Los URI de Blob permiten a los desarrolladores web trabajar con datos binarios como imágenes, vídeos o archivos directamente dentro del navegador, sin tener que enviarlos ni recuperarlos de un servidor externo”.
También surge una nueva investigación de ESET que muestra que los actores de amenazas detrás del kit de herramientas Telekopye Telegram han ampliado su enfoque más allá de las estafas en los mercados en línea para apuntar a plataformas de reserva de alojamiento como Booking.com y Airbnb, con un fuerte repunte detectado en julio de 2024.
Los ataques se caracterizan por el uso de cuentas comprometidas de hoteles y proveedores de alojamiento legítimos para contactar objetivos potenciales, alegando supuestos problemas con el pago de la reserva y engañándolos para que hagan clic en un enlace falso que les solicita que introduzcan su información financiera.
“Utilizando su acceso a estas cuentas, los estafadores seleccionan a los usuarios que recientemente reservaron una estadía y aún no han pagado (o pagaron muy recientemente) y se comunican con ellos a través del chat en la plataforma”, dijeron los investigadores Jakub Souček y Radek Jizba. “Dependiendo de la plataforma y de la configuración de Mammoth, esto hace que Mammoth reciba un correo electrónico o un SMS de la plataforma de reservas”.
“Esto hace que la estafa sea mucho más difícil de detectar, ya que la información proporcionada es personalmente relevante para las víctimas, llega a través del canal de comunicación esperado y los sitios web falsos vinculados tienen el aspecto esperado”.
Es más, la diversificación de la huella de victimología se ha complementado con mejoras en el conjunto de herramientas que permiten a los grupos de estafadores acelerar el proceso de estafa mediante la generación automatizada de páginas de phishing, mejorar la comunicación con los objetivos a través de chatbots interactivos, proteger los sitios web de phishing contra las interrupciones de los competidores, y otros objetivos.
Las operaciones de Telekopye no han estado exentas de contratiempos. En diciembre de 2023, funcionarios encargados de hacer cumplir la ley de Chequia y Ucrania anunciaron el arresto de varios ciberdelincuentes que supuestamente habían utilizado el bot malicioso Telegram.
“Los programadores crearon, actualizaron, mantuvieron y mejoraron el funcionamiento de los bots de Telegram y las herramientas de phishing, además de garantizar el anonimato de los cómplices en Internet y brindar asesoramiento sobre cómo ocultar actividades delictivas”, dijo la policía de la República Checa en un comunicado en la conferencia. tiempo.
“Los grupos en cuestión fueron administrados, desde espacios de trabajo exclusivos, por hombres de mediana edad de Europa del Este y Asia Occidental y Central”, dijo ESET. “Reclutaron a personas en situaciones difíciles de la vida, a través de anuncios en portales de empleo que prometían ‘dinero fácil’, así como a estudiantes extranjeros técnicamente capacitados en las universidades”.