Malware Actors abusa de la plataforma GitHub para almacenar kits de phishing
En los últimos años ha sido una práctica común que los ciberdelincuentes alojen kits maliciosos en redes sociales y plataformas de almacenamiento en la nube para el consumidor como Facebook, Dropbox, Paypal, eBay y Google Drive. El uso de dichos dominios permite omitir las listas blancas y las defensas de la red para que los operadores de malware puedan combinar sus actividades dentro del tráfico web legítimo y alcanzar sus objetivos fácilmente.
En abril de 2019, los investigadores descubrieron que al menos desde mediados de 2017, los actores maliciosos también han estado abusando de la popular plataforma de alojamiento de código GitHub para almacenar kits de phishing en el dominio $ github_username.github.io. Los phishers utilizaron repositorios de código libre de GitHub, por lo que los expertos en ciberseguridad podrían monitorear y analizar todas sus acciones. Se ha observado que los delincuentes personalizaron los kits de phishing según sus propósitos particulares, por ejemplo, se actualizaron los indicadores de compromiso que incluyen enlaces acortados, o se modificaron las páginas de destino para evitar las limitaciones de GitHub mediante el uso de un script PHP alojado en un dominio remoto en lugar de El local para el kit.
Uno de los kits de phishing que redirigió a los usuarios a través de correos electrónicos no deseados a páginas de destino maliciosas alojadas en GitHub fue diseñado para robar las credenciales de los clientes de un banco minorista. Los investigadores también descubrieron que las credenciales y la otra información confidencial recopilada por los kits de suplantación de identidad (phishing) se enviaban a otros servidores comprometidos controlados por las mismas personas que poseían las cuentas correspondientes de GitHub. Además, github.io no ofrece servicios de back-end de PHP, por lo que los kits de phishing almacenados en la plataforma no incluían herramientas basadas en PHP.
Los investigadores declararon que GitHub ha sido extremadamente receptivo al arreglar el abuso de su sistema, y que todas las cuentas descubiertas involucradas en las campañas de phishing ya han sido eliminadas.
Al igual que en el caso de GitHub, en febrero de 2019, otra herramienta de phishing disfrazada de Google Translate en dispositivos móviles intentó robar los datos de inicio de sesión de Google y Google. El Azure Blob Storage de Microsoft también se ha utilizado incorrectamente de una manera similar: los atacantes intentaron robar las credenciales de las cuentas de Microsoft Office, Outlook, Azure AD y Microsoft al hacer que las páginas de destino comprometidas parecieran legítimas mediante el uso de los certificados de Microsoft SSL del subdominio de windows.net.