Una sofisticata campagna di phishing ha sfruttato il sistema di commenti di GitHub per distribuire malware, bypassando i Secure Email gateway (SEG), gli strumenti che possono filtrare e ispezionare le e-mail alla ricerca di contenuti dannosi.
Questo articolo esplora i dettagli di questa minaccia e le sue implicazioni per la sicurezza informatica.
Gli attaccanti, invece di creare repository malevoli, hanno sfruttato repository legittimi come quelli associati a software open source per la dichiarazione dei redditi offerti da organizzazioni fiscali riconosciute ovvero su repository di proprietà di UsTaxes, HMRC (His Majesty’s Revenue & Customs) e InlandRevenue.
Questo approccio ha reso le e-mail di phishing più credibili e difficili da rilevare.
La campagna ha preso di mira principalmente il settore finanziario e assicurativo, promettendo assistenza fiscale per presentare la dichiarazione dei redditi anche dopo la scadenza dei termini.
“Poiché si trattava di una campagna malware a tema fiscale, qualsiasi settore avrebbe potuto essere preso di mira, poiché la maggior parte delle organizzazioni paga le tasse”, spiega Jacob Malimban di Cofense, ritenendo ridotta la portata di questa campagna rispetto ad altre solo perché, probabilmente, gli autori della minaccia ne stavano testando l’efficacia.
Le e-mail contenevano link a archivi zip protetti da password su GitHub, che includevano il malware Remcos RAT (Remote Access Trojan), un trojan di accesso remoto utilizzato negli anni da criminali informatici e gruppi nation-state in vari attacchi di cyber spionaggio.
L’uso di questi archivi ha aggiunto un ulteriore strato di legittimità, rendendo più difficile per i filtri SEG di rilevare la minaccia.
L’impiego di repository GitHub per distribuire malware sta prendendo sempre più piede negli ultimi tempi, come documentato ad esempio da ReversingLabs, Check Point Research e VulnCheck.
GitHub è una piattaforma ampiamente utilizzata e rispettata, il che rende difficile per gli utenti distinguere tra contenuti legittimi e malevoli. Inoltre, i commenti su GitHub possono contenere file non approvati, che non vengono sottoposti al controllo del codice sorgente del repository.
“I commenti di GitHub sono utili per un autore di minacce perché il malware può essere allegato a un commento in un repository GitHub senza doverlo caricare nei file del codice sorgente di quel repository”,evidenzia il rapporto, “Ciò significa che il repository GitHub legittimo di qualsiasi organizzazione che consenta commenti può contenere file non approvati al di fuori del codice verificato”.
Ciò che si sfrutta principalmente in questa campagna, continua Malimban, è però la possibilità di avere i link per il download sempre attivi per essere inviati via e-mail senza la necessità di impiegare reindirizzamenti Google, codici QR o altre tecniche per eludere i controlli SEG, anche dopo l’eliminazione del commento contenente il collegamento effettivo all’archivio malware stesso.
L’esperto fa inoltre notare come questa caratteristica sia stata sfruttata in passato anche per distribuire Redline Stealer tramite repository associati a Microsoft.
Per proteggersi da tali minacce, è essenziale adottare misure di sicurezza avanzate:
L’utilizzo di repository attendibili per distribuire malware evidenzia la necessità di strategie di sicurezza più robuste e adattabili.
Con l’evoluzione delle tattiche degli attaccanti, è cruciale rimanere aggiornati sulle ultime minacce per proteggere le informazioni sensibili e mantenere la sicurezza delle infrastrutture digitali.
Purtroppo, le piattaforme di sviluppo software e collaborazione affidabili e ampiamente utilizzate, come GitHub e GitLab sono diventate sempre più d’interesse per una gamma crescente di attività dannose.