13 nov às 09:14

Ferramenta de phishing GoIssue usa campanhas de e-mail para atacar desenvolvedores do GitHub

Especialistas em segurança cibernética estão destacando uma ferramenta recém-avançada chamada GoIssue, capaz de implantar mensagens de phishing em escala, especificamente voltadas para usuários do GitHub.

Inicialmente promovida por um ator de ameaça conhecido como cyberdluffy (também conhecido como Cyber D’ Luffy) no fórum Runion no início de agosto, a ferramenta é anunciada como permitindo que criminosos cibernéticos coletem endereços de e-mail de perfis públicos do GitHub e enviem mensagens em massa diretamente para as caixas de entrada dos usuários.

“Não importa se você está procurando se conectar com um público-alvo ou ampliar seu alcance, o GoIssue oferece a precisão e o impacto que você precisa”, afirmou o agente de ameaças em seu anúncio. “O GoIssue pode enviar e-mails em massa para usuários do GitHub, alcançando suas caixas de entrada e direcionando qualquer destinatário desejado.”

SlashNext descreveu a ferramenta como um “avanço preocupante em phishing direcionado”, que pode facilitar o acesso ao roubo de código-fonte, ataques à cadeia de suprimentos e violações em redes corporativas explorando credenciais de desenvolvedor.

“Equipados com esses dados, os invasores podem executar campanhas de e-mail em massa personalizadas, projetadas para contornar filtros de spam e envolver grupos de desenvolvedores específicos”, afirmou a empresa .

Uma versão personalizada do GoIssue custa US$ 700, enquanto o acesso total ao seu código-fonte está disponível por US$ 3.000. No entanto, a partir de 11 de outubro de 2024, os descontos reduziram esses preços para US$ 150 para a versão personalizada e US$ 1.000 para o código-fonte completo para “os primeiros 5 compradores”.

Em um cenário de ataque potencial, um agente de ameaça pode usar essa ferramenta para direcionar vítimas a páginas fraudulentas projetadas para capturar detalhes de login, instalar malware ou autorizar um aplicativo OAuth enganoso solicitando acesso aos seus repositórios privados e dados.

Outro aspecto notável da presença online do cyberdluffy é seu perfil no Telegram, onde eles afirmam ser um “membro da Equipe Gitloker“. O Gitloker foi anteriormente vinculado a um esquema de extorsão específico do GitHub que envolvia enganar usuários para clicar em um link malicioso se passando pelas equipes de segurança ou recrutamento do GitHub.

Os links são incorporados em notificações por e-mail enviadas automaticamente pelo GitHub depois que as contas de desenvolvedor são marcadas em comentários de spam em problemas abertos ou solicitações de pull, usando contas comprometidas já. Essas páginas fraudulentas solicitam que os destinatários façam login em suas contas do GitHub e autorizem um novo aplicativo OAuth sob o pretexto de se candidatar a novas oportunidades de emprego.

Se um desenvolvedor desavisado conceder todas as permissões ao aplicativo OAuth malicioso, os invasores procedem para limpar todo o conteúdo do repositório, substituindo-os por uma nota de resgate instruindo a vítima a entrar em contato com uma persona chamada Gitloker no Telegram.

“A capacidade do GoIssue de despachar esses e-mails direcionados em escala permite que os invasores expandam suas campanhas, afetando potencialmente milhares de desenvolvedores simultaneamente“, relatou o SlashNext. “Isso aumenta a ameaça de violações bem-sucedidas, exfiltração de dados e projetos comprometidos.”

Este desenvolvimento coincide com a descoberta da Perception Point de um novo método de phishing em duas etapas usando arquivos do Microsoft Visio (.vsdx) e do SharePoint para roubar credenciais. Os e-mails, disfarçados como propostas comerciais, são originários de contas previamente comprometidas para escapar dos filtros de autenticação.

“Clicar na URL fornecida no corpo do e-mail ou no arquivo .eml anexado direciona o destinatário para uma página do Microsoft SharePoint contendo um arquivo do Visio (.vsdx)”, informou a empresa . “A conta do SharePoint usada para hospedar os arquivos do Visio também costuma ser comprometida.”

Dentro do arquivo do Visio há outro link clicável que, em última análise, redireciona o usuário para uma página de login falsa do Microsoft 365, com o objetivo de roubar credenciais.

“Ataques de phishing em duas etapas usando plataformas confiáveis e formatos de arquivo familiares, como SharePoint e Visio, estão se tornando mais prevalentes”, acrescentou a Perception Point. “Essas táticas sofisticadas de evasão alavancam a confiança do usuário em ferramentas reconhecidas, evitando a detecção por sistemas convencionais de segurança de e-mail.”

Fonte: TheHackerNews