Se ha observado una nueva campaña de malware con temática fiscal dirigida a los sectores de seguros y finanzas que aprovecha los enlaces de GitHub en mensajes de correo electrónico de phishing como una forma de eludir las medidas de seguridad y entregar Remcos RAT, lo que indica que el método está ganando terreno entre los actores de amenazas.
«En esta campaña, se utilizaron repositorios legítimos como el software de presentación de impuestos de código abierto UsTaxes, HMRC e InlandRevenue en lugar de repositorios desconocidos y de baja calificación», dijo el investigador de Cofense, Jacob Malimban .
«El uso de repositorios confiables para distribuir malware es relativamente nuevo en comparación con la creación por parte de actores de amenazas de sus propios repositorios maliciosos en GitHub. Estos enlaces maliciosos de GitHub pueden asociarse con cualquier repositorio que permita comentarios».
Un aspecto central de la cadena de ataque es el abuso de la infraestructura de GitHub para almacenar las cargas útiles maliciosas. Una variante de la técnica, revelada por primera vez por OALABS Research en marzo de 2024, implica que los actores de amenazas abran una incidencia de GitHub en repositorios conocidos y carguen allí una carga útil maliciosa, para luego cerrar la incidencia sin guardarla.
Al hacerlo, se ha descubierto que el malware cargado persiste aunque el problema nunca se guarde, un vector que se ha vuelto propicio para el abuso ya que permite a los atacantes cargar cualquier archivo de su elección y no dejar ningún rastro excepto el enlace al archivo en sí.
El enfoque ha sido utilizado como arma para engañar a los usuarios para que descarguen un cargador de malware basado en Lua que es capaz de establecer persistencia en sistemas infectados y entregar cargas útiles adicionales, como detalló Morphisec esta semana.
La campaña de phishing detectada por Cofense emplea una táctica similar, con la única diferencia de que utiliza comentarios de GitHub para adjuntar un archivo (es decir, el malware), tras lo cual se elimina el comentario. Al igual que en el caso mencionado anteriormente, el enlace permanece activo y se propaga a través de correos electrónicos de phishing.
«Los correos electrónicos con enlaces a GitHub son eficaces para eludir la seguridad de SEG porque GitHub suele ser un dominio de confianza», afirmó Malimban. «Los enlaces de GitHub permiten a los actores de amenazas vincularse directamente al archivo de malware en el correo electrónico sin tener que utilizar redirecciones de Google, códigos QR u otras técnicas de evasión de SEG».
El desarrollo surge luego de que Barracuda Networks revelara nuevos métodos adoptados por los phishers, incluidos códigos QR basados en ASCII y Unicode y URL de blob como una forma de dificultar el bloqueo de contenido malicioso y evadir la detección.
«Los navegadores utilizan un URI de blob (también conocido como URL de blob o URL de objeto) para representar datos binarios u objetos similares a archivos (llamados blobs) que se almacenan temporalmente en la memoria del navegador», dijo el investigador de seguridad Ashitosh Deshnur .
«Los URI de blob permiten a los desarrolladores web trabajar con datos binarios como imágenes, vídeos o archivos directamente dentro del navegador, sin tener que enviarlos o recuperarlos de un servidor externo».
También se desprende de una nueva investigación de ESET que indica que los actores de amenazas detrás del kit de herramientas Telekopye Telegram han ampliado su enfoque más allá de las estafas en los mercados en línea para apuntar a plataformas de reserva de alojamiento como Booking.com y Airbnb, con un fuerte repunte detectado en julio de 2024.
Los ataques se caracterizan por el uso de cuentas comprometidas de hoteles y proveedores de alojamiento legítimos para contactar a objetivos potenciales, alegando supuestos problemas con el pago de la reserva y engañándolos para que hagan clic en un enlace falso que les solicita que ingresen su información financiera.
«Los estafadores, que tienen acceso a estas cuentas, identifican a los usuarios que han reservado recientemente una estancia y aún no han pagado (o lo han hecho hace muy poco) y se ponen en contacto con ellos a través del chat de la plataforma», explican los investigadores Jakub Souček y Radek Jizba . «Dependiendo de la plataforma y de la configuración de Mammoth, Mammoth recibe un correo electrónico o un SMS de la plataforma de reservas».
«Esto hace que la estafa sea mucho más difícil de detectar, ya que la información proporcionada es personalmente relevante para las víctimas, llega a través del canal de comunicación esperado y los sitios web falsos vinculados tienen el aspecto esperado».
Además, la diversificación de la huella de victimología se ha complementado con mejoras en el conjunto de herramientas que permiten a los grupos de estafadores acelerar el proceso de estafa mediante la generación automatizada de páginas de phishing, mejorar la comunicación con los objetivos a través de chatbots interactivos, proteger los sitios web de phishing contra interrupciones por parte de los competidores y otros objetivos.
Las operaciones de Telekopye no han estado exentas de contratiempos. En diciembre de 2023, las autoridades policiales de Chequia y Ucrania anunciaron la detención de varios ciberdelincuentes que presuntamente habían utilizado el bot malicioso de Telegram.
«Los programadores crearon, actualizaron, mantuvieron y mejoraron el funcionamiento de los bots de Telegram y las herramientas de phishing, además de garantizar el anonimato de los cómplices en Internet y brindar asesoramiento sobre cómo ocultar actividades delictivas», dijo entonces la Policía de la República Checa en un comunicado.
«Los grupos en cuestión eran gestionados desde espacios de trabajo específicos por hombres de mediana edad procedentes de Europa del Este y Asia Occidental y Central», afirma ESET. «Reclutaban a personas en situaciones difíciles a través de anuncios en portales de empleo que prometían ‘dinero fácil’, así como a través de la búsqueda de estudiantes extranjeros con formación técnica en universidades».
Fuente y redacción: thehackernews.com