Los investigadores de ciberseguridad están llamando la atención sobre una nueva herramienta sofisticada llamada GoIssue que puede usarse para enviar mensajes de phishing a escala dirigidos a usuarios de GitHub.
El programa, comercializado por primera vez por un actor de amenazas llamado cyberdluffy (también conocido como Cyber D’ Luffy) en el foro runion A principios de agosto, se anuncia como una herramienta que permite a los delincuentes extraer direcciones de correo electrónico de perfiles públicos de GitHub y enviar correos electrónicos masivos directamente a las bandejas de entrada de los usuarios.
“Ya sea que su objetivo sea llegar a una audiencia específica o ampliar su alcance, GoIssue ofrece la precisión y el poder que necesita”, afirmó el actor de amenazas en su publicación. “GoIssue puede enviar correos electrónicos masivos a usuarios de GitHub, directamente a sus bandejas de entrada, dirigidos a cualquier destinatario”.
SlashNext dijo que la herramienta marca un “cambio peligroso en el phishing dirigido” que podría actuar como puerta de entrada al robo de código fuente, ataques a la cadena de suministro y violaciones de la red corporativa a través de credenciales de desarrollador comprometidas.
“Armados con esta información, los atacantes pueden lanzar campañas de correo electrónico masivas personalizadas diseñadas para evitar los filtros de spam y dirigirse a comunidades de desarrolladores específicas”, dijo la empresa. dicho.
Una versión personalizada de GoIssue está disponible por $700. Alternativamente, los compradores pueden obtener acceso completo a su código fuente por 3.000 dólares. A partir del 11 de octubre de 2024, los precios se redujeron a $150 y $1000 para la compilación personalizada y el código fuente completo para “los primeros 5 clientes”.
En un escenario de ataque hipotético, un actor de amenazas podría utilizar este método para redirigir a las víctimas a páginas falsas cuyo objetivo es capturar sus credenciales de inicio de sesión, descargar malware o autorizar una aplicación OAuth fraudulenta que solicite acceso a sus repositorios y datos privados.
Otra faceta de cyberdluffy que merece atención es su perfil de Telegram, donde afirman ser “miembros del equipo Gitloker”. Gitloker se atribuyó anteriormente a una campaña de extorsión centrada en GitHub que implicaba engañar a los usuarios para que hicieran clic en un enlace trampa haciéndose pasar por los equipos de seguridad y reclutamiento de GitHub.
Los enlaces se envían dentro de mensajes de correo electrónico que GitHub activa automáticamente después de que las cuentas de desarrollador sean etiquetadas en comentarios de spam sobre problemas abiertos aleatorios o solicitudes de extracción utilizando cuentas ya comprometidas. Las páginas fraudulentas les indican que inicien sesión en sus cuentas de GitHub y autoricen una nueva aplicación OAuth para postularse a nuevos puestos de trabajo.
Si el desarrollador distraído otorga todos los permisos solicitados a la aplicación OAuth maliciosa, los actores de amenazas proceden a purgar todo el contenido del repositorio y reemplazarlo con una nota de rescate que insta a la víctima a contactar a una persona llamada Gitloker en Telegram.
“La capacidad de GoIssue para enviar estos correos electrónicos dirigidos de forma masiva permite a los atacantes ampliar sus campañas, impactando a miles de desarrolladores a la vez”, dijo SlashNext. “Esto aumenta el riesgo de filtraciones exitosas, robo de datos y proyectos comprometidos”.
El desarrollo se produce cuando Perception Point describió un nuevo ataque de phishing de dos pasos que emplea archivos de Microsoft Visio (.vdsx) y SharePoint para desviar credenciales. Los mensajes de correo electrónico se hacen pasar por una propuesta comercial y se envían desde cuentas de correo electrónico previamente violadas para eludir los controles de autenticación.
“Al hacer clic en la URL proporcionada en el cuerpo del correo electrónico o dentro del archivo .eml adjunto, la víctima accede a una página de Microsoft SharePoint que aloja un archivo Visio (.vsdx)”, dijo la empresa. dicho. “La cuenta de SharePoint utilizada para cargar y alojar los archivos .vdsx a menudo también está comprometida”.
Dentro del archivo Visio hay otro enlace en el que se puede hacer clic que, en última instancia, lleva a la víctima a una página de inicio de sesión falsa de Microsoft 365 con el objetivo final de recopilar sus credenciales.
“Los ataques de phishing en dos pasos que aprovechan plataformas y formatos de archivo confiables como SharePoint y Visio se están volviendo cada vez más comunes”, agregó Perception Point. “Estas tácticas de evasión de múltiples capas explotan la confianza del usuario en herramientas familiares mientras evaden la detección por parte de las plataformas de seguridad de correo electrónico estándar”.