Se ha observado una nueva campaña de malware con temática fiscal dirigida a las industrias financiera y de seguros que explota enlaces de GitHub en correos electrónicos de phishing como una forma de eludir las medidas de seguridad y entregar Remcos RAT, lo que indica que el método está ganando terreno entre los actores de amenazas.
“En esta campaña, se utilizaron repositorios legítimos como el software de declaración de impuestos de código abierto UsTaxes, HMRC e InlandRevenue en lugar de repositorios desconocidos y de bajo rendimiento”, dijo Jacob Malimban, investigador de Cofense. dicho.
“El uso de repositorios confiables para distribuir malware es relativamente nuevo en comparación con los malos actores que crean sus propios repositorios maliciosos de GitHub. Estos enlaces maliciosos de GitHub se pueden asociar con cualquier repositorio que permita comentarios”.
El abuso de la infraestructura de GitHub para organizar cargas útiles maliciosas es el núcleo de la cadena de ataque. Una variación de la técnica, divulgada por primera vez por OALABS Research en marzo de 2024, implica que actores maliciosos abran un problema de GitHub en repositorios conocidos y carguen una carga útil maliciosa allí, y luego cierren el problema sin guardarlo.
Al hacerlo, se descubrió que el malware descargado persiste incluso si el problema nunca se registra, un vector que se ha vuelto propicio para el abuso, ya que permite a los atacantes descargar cualquier archivo que deseen y no dejar rastro, excepto el enlace al archivo en sí. .
El enfoque se utilizó para engañar a los usuarios para que descargaran un cargador de malware basado en Lua capaz de establecer persistencia en sistemas infectados y entregar cargas útiles adicionales, como detalló Morphisec esta semana.
La campaña de phishing detectada por Cofense utiliza una táctica similar, con la única diferencia de que utiliza Comentarios en GitHub para adjuntar un archivo (es decir, el malware), después de lo cual se elimina el comentario. Como en el caso anterior, el enlace permanece activo y se propaga a través de correos electrónicos de phishing.
“Los correos electrónicos que contienen enlaces a GitHub son eficaces para eludir la seguridad de SEG porque GitHub suele ser un dominio confiable”, dijo Malimban. “Los enlaces de GitHub permiten a los actores de amenazas vincularse directamente a los archivos de malware contenidos en el correo electrónico sin tener que utilizar redirecciones de Google, códigos QR u otras técnicas de evasión de SEG”.
Este desarrollo se produce cuando Barracuda Networks reveló nuevos métodos adoptados por los phishers, incluidos códigos QR y códigos QR basados en ASCII y Unicode. URL de blobs como una forma de dificultar el bloqueo de contenido malicioso y evadir la detección.
“Los navegadores utilizan un URI de blob (también conocido como URL de blob o URL de objeto) para representar datos binarios u objetos similares a archivos (llamados blobs) que persisten temporalmente en la memoria del navegador”, dijo el investigador de seguridad Ashitosh Deshnur. dicho.
“Los URI de Blob permiten a los desarrolladores web trabajar con datos binarios como imágenes, vídeos o archivos directamente en el navegador, sin tener que enviarlos ni recuperarlos de un servidor externo”.
También surge una nueva investigación de ESET que muestra que los malos actores detrás del kit de herramientas Telekopye Telegram han ampliado su alcance más allá de las estafas en los mercados en línea para apuntar a plataformas de reserva de alojamiento como Booking.com y Airbnb, con un fuerte aumento detectado en julio de 2024.
Los ataques se caracterizan por utilizar cuentas comprometidas de hoteles y proveedores de alojamiento legítimos para contactar con objetivos potenciales, alegando supuestos problemas con el pago de la reserva y engañándolos para que hagan clic en un enlace falso que les solicita que introduzcan su información financiera.
“A través del acceso a estas cuentas, los estafadores identifican a los usuarios que han reservado recientemente una estancia y aún no han pagado (o han pagado muy recientemente) y se ponen en contacto con ellos a través del chat de la plataforma”, explican los investigadores Jakub Souček y Radek Jizba. dicho. “Dependiendo de la plataforma y la configuración de Mammoth, recibe un correo electrónico o un SMS de la plataforma de reservas”.
“Esto hace que la estafa sea mucho más difícil de detectar, porque la información proporcionada es personalmente relevante para las víctimas, llega a través del canal de comunicación previsto y los sitios web falsos vinculados aparecen como se esperaba”.
Además, la diversificación de la huella victimológica se ha complementado con mejoras en la caja de herramientas que permiten a los grupos de estafadores acelerar el proceso de estafa mediante la generación automatizada de páginas de phishing, mejorar la comunicación con los objetivos a través de chatbots interactivos, proteger los sitios web de phishing de las interrupciones causadas por los competidores y otros fines.
Las operaciones de Telekopye no han estado exentas de contratiempos. En diciembre de 2023, las fuerzas del orden de la República Checa y Ucrania anunciaron el arresto de varios ciberdelincuentes sospechosos de utilizar el bot de malware Telegram.
“Los programadores crearon, actualizaron, mantuvieron y mejoraron el funcionamiento de los bots de Telegram y las herramientas de phishing, garantizando al mismo tiempo el anonimato de los cómplices en Internet y brindando consejos sobre cómo ocultar actividades delictivas”, dijo la policía de la República Checa. dicho en un comunicado en ese momento.
“Los grupos en cuestión estaban dirigidos, desde espacios de trabajo exclusivos, por hombres de mediana edad de Europa del Este y Asia Occidental y Central”, dijo ESET. “Reclutaron a personas en situaciones difíciles de la vida, a través de anuncios de empleo en portales de empleo que prometían dinero fácil, así como a estudiantes extranjeros técnicamente calificados en las universidades”.