Как GitHub, Telegram-боты и QR-коды становятся орудиями новой волны фишинговых атак

В последнее время наблюдается новая кампания вредоносного ПО, нацеленная на страховой и финансовый сектора. Злоумышленники используют ссылки на GitHub в фишинговых письмах, чтобы обойти меры безопасности и доставить вредоносное ПО под названием Remcos RAT. Это означает, что такой метод становится все более популярным среди киберпреступников.

Исследователь Cofense, Джейкоб Малимбан, отметил, что в этой кампании используются легитимные репозитории, такие как программное обеспечение для подачи налоговых деклараций UsTaxes, HMRC и InlandRevenue, вместо неизвестных репозиториев с низким рейтингом. Использование доверенных репозиториев для доставки вредоносного ПО — это относительно новая тактика, которая позволяет злоумышленникам обойти защиту.

В центре этой атаки находится злоупотребление инфраструктурой GitHub для размещения вредоносных файлов. Один из вариантов этой техники, впервые раскрытый OALABS Research в марте 2024 года, включает в себя открытие злоумышленниками проблемы в известных репозиториях и загрузку вредоносного файла, после чего проблема закрывается без сохранения. В результате загруженное вредоносное ПО остается доступным, даже если проблема не была сохранена.

Эта тактика используется для обмана пользователей, заставляя их загружать загрузчик вредоносного ПО на основе Lua, который может устанавливать постоянное присутствие на зараженных системах и доставлять дополнительные вредоносные файлы. Фишинговая кампания, обнаруженная Cofense, использует аналогичный подход, но вместо этого использует комментарии на GitHub для прикрепления файла (вредоносного ПО), после чего комментарий удаляется. Ссылка на файл остается активной и распространяется через фишинговые письма.

Письма со ссылками на GitHub эффективны для обхода мер безопасности, так как GitHub обычно считается доверенным доменом. Это позволяет злоумышленникам напрямую ссылаться на архив вредоносного ПО в письме, не прибегая к другим методам обхода.