Una sofisticata campagna di phishing ha sfruttato il sistema di commenti di GitHub per distribuire malware, bypassando i Secure Email gateway (SEG), gli strumenti che possono filtrare e ispezionare le e-mail alla ricerca di contenuti dannosi.

Questo articolo esplora i dettagli di questa minaccia e le sue implicazioni per la sicurezza informatica.

Metodologia della campagna di phishing

Gli attaccanti, invece di creare repository malevoli, hanno sfruttato repository legittimi come quelli associati a software open source per la dichiarazione dei redditi offerti da organizzazioni fiscali riconosciute ovvero su repository di proprietà di UsTaxes, HMRC (His Majesty’s Revenue & Customs) e InlandRevenue.

Questo approccio ha reso le e-mail di phishing più credibili e difficili da rilevare.

Obiettivi e tattiche degli attaccanti

La campagna ha preso di mira principalmente il settore finanziario e assicurativo, promettendo assistenza fiscale per presentare la dichiarazione dei redditi anche dopo la scadenza dei termini.

“Poiché si trattava di una campagna malware a tema fiscale, qualsiasi settore avrebbe potuto essere preso di mira, poiché la maggior parte delle organizzazioni paga le tasse”, spiega Jacob Malimban di Cofense, ritenendo ridotta la portata di questa campagna rispetto ad altre solo perché, probabilmente, gli autori della minaccia ne stavano testando l’efficacia.

Le e-mail contenevano link a archivi zip protetti da password su GitHub, che includevano il malware Remcos RAT (Remote Access Trojan), un trojan di accesso remoto utilizzato negli anni da criminali informatici e gruppi nation-state in vari attacchi di cyber spionaggio.

L’uso di questi archivi ha aggiunto un ulteriore strato di legittimità, rendendo più difficile per i filtri SEG di rilevare la minaccia.

Implicazioni per la sicurezza

L’impiego di repository GitHub per distribuire malware sta prendendo sempre più piede negli ultimi tempi, come documentato ad esempio da ReversingLabs, Check Point Research e VulnCheck.

GitHub è una piattaforma ampiamente utilizzata e rispettata, il che rende difficile per gli utenti distinguere tra contenuti legittimi e malevoli. Inoltre, i commenti su GitHub possono contenere file non approvati, che non vengono sottoposti al controllo del codice sorgente del repository.

“I commenti di GitHub sono utili per un autore di minacce perché il malware può essere allegato a un commento in un repository GitHub senza doverlo caricare nei file del codice sorgente di quel repository”,evidenzia il rapporto, “Ciò significa che il repository GitHub legittimo di qualsiasi organizzazione che consenta commenti può contenere file non approvati al di fuori del codice verificato”.

Ciò che si sfrutta principalmente in questa campagna, continua Malimban, è però la possibilità di avere i link per il download sempre attivi per essere inviati via e-mail senza la necessità di impiegare reindirizzamenti Google, codici QR o altre tecniche per eludere i controlli SEG, anche dopo l’eliminazione del commento contenente il collegamento effettivo all’archivio malware stesso.

Fonte: Cofense.

L’esperto fa inoltre notare come questa caratteristica sia stata sfruttata in passato anche per distribuire Redline Stealer tramite repository associati a Microsoft.

Prevenzione e mitigazione

Per proteggersi da tali minacce, è essenziale adottare misure di sicurezza avanzate:

1. Educazione e consapevolezza: formare i dipendenti a riconoscere e-mail di phishing e link sospetti.
2. Controlli di sicurezza avanzati: implementare soluzioni di sicurezza che possano analizzare i contenuti dei commenti su GitHub e altri repository.
3. Monitoraggio continuo: sorvegliare costantemente le attività sui repository GitHub per individuare comportamenti anomali.

L’utilizzo di repository attendibili per distribuire malware evidenzia la necessità di strategie di sicurezza più robuste e adattabili.

Con l’evoluzione delle tattiche degli attaccanti, è cruciale rimanere aggiornati sulle ultime minacce per proteggere le informazioni sensibili e mantenere la sicurezza delle infrastrutture digitali.

Purtroppo, le piattaforme di sviluppo software e collaborazione affidabili e ampiamente utilizzate, come GitHub e GitLab sono diventate sempre più d’interesse per una gamma crescente di attività dannose.