Une nouvelle campagne de malware sur le thème de la fiscalité ciblant les secteurs de l’assurance et de la finance a été observée en exploitant les liens GitHub dans les messages électroniques de phishing comme moyen de contourner les mesures de sécurité et de fournir Remcos RAT, ce qui indique que la méthode gagne du terrain parmi les acteurs de la menace.
« Dans cette campagne, des référentiels légitimes tels que le logiciel open source de déclaration de revenus UsTaxes, HMRC et InlandRevenue ont été utilisés à la place de référentiels inconnus et peu performants », a déclaré Jacob Malimban, chercheur à Cofense. dit.
« L’utilisation de référentiels fiables pour diffuser des logiciels malveillants est relativement nouvelle par rapport aux acteurs malveillants qui créent leurs propres référentiels GitHub malveillants. Ces liens GitHub malveillants peuvent être associés à n’importe quel référentiel autorisant les commentaires. »
L’abus de l’infrastructure GitHub pour organiser les charges utiles malveillantes est au cœur de la chaîne d’attaque. Une variante de la technique, divulguée pour la première fois par OALABS Research en mars 2024, implique que les acteurs malveillants ouvrent un problème GitHub sur des référentiels bien connus et y téléchargent une charge utile malveillante, puis ferment le problème sans l’enregistrer.
Ce faisant, il a été constaté que le malware téléchargé persiste même si le problème n’est jamais enregistré, un vecteur devenu propice aux abus car il permet aux attaquants de télécharger n’importe quel fichier de leur choix et de ne laisser aucune trace, à l’exception du lien vers le fichier lui-même.
L’approche a été utilisée pour inciter les utilisateurs à télécharger un chargeur de malware basé sur Lua, capable d’établir la persistance sur les systèmes infectés et de fournir des charges utiles supplémentaires, comme l’a détaillé Morphisec cette semaine.
La campagne de phishing détectée par Cofense utilise une tactique similaire, la seule différence étant qu’elle utilise Commentaires sur GitHub pour joindre un fichier (c’est-à-dire le malware), après quoi le commentaire est supprimé. Comme dans le cas susmentionné, le lien reste actif et se propage via des emails de phishing.
« Les e-mails contenant des liens vers GitHub sont efficaces pour contourner la sécurité SEG car GitHub est généralement un domaine de confiance », a déclaré Malimban. « Les liens GitHub permettent aux auteurs de menaces de créer un lien direct vers les archives de logiciels malveillants contenues dans l’e-mail sans avoir à utiliser des redirections Google, des codes QR ou d’autres techniques de contournement SEG. »
Ce développement intervient alors que Barracuda Networks a révélé de nouvelles méthodes adoptées par les phishers, notamment les codes QR et les codes QR basés sur ASCII et Unicode. URL d’objets blob comme moyen de rendre plus difficile le blocage des contenus malveillants et d’échapper à la détection.
« Un URI de blob (également connu sous le nom d’URL de blob ou d’URL d’objet) est utilisé par les navigateurs pour représenter des données binaires ou des objets de type fichier (appelés blobs) qui sont temporairement conservés dans la mémoire du navigateur », a déclaré le chercheur en sécurité Ashitosh Deshnur. dit.
« Les URI Blob permettent aux développeurs Web de travailler avec des données binaires telles que des images, des vidéos ou des fichiers directement dans le navigateur, sans avoir à les envoyer ou à les récupérer depuis un serveur externe. »
Cela fait également suite à de nouvelles recherches d’ESET selon lesquelles les acteurs malveillants à l’origine de la boîte à outils Telekopye Telegram ont élargi leur champ d’action au-delà des escroqueries sur les marchés en ligne pour cibler les plateformes de réservation d’hébergement telles que Booking.com et Airbnb, avec une forte hausse détectée en juillet 2024.
Les attaques se caractérisent par l’utilisation de comptes compromis d’hôtels et de fournisseurs d’hébergement légitimes pour contacter des cibles potentielles, en alléguant de prétendus problèmes avec le paiement de la réservation et en les incitant à cliquer sur un faux lien qui les invite à saisir leurs informations financières.
« En utilisant leur accès à ces comptes, les fraudeurs identifient les utilisateurs qui ont récemment réservé un séjour et qui n’ont pas encore payé – ou payé très récemment – et les contactent via le chat sur la plateforme », expliquent les chercheurs Jakub Souček et Radek Jizba. dit. « En fonction de la plateforme et des paramètres du Mammoth, celui-ci reçoit un e-mail ou un SMS de la plateforme de réservation. »
« Cela rend l’arnaque beaucoup plus difficile à repérer, car les informations fournies sont personnellement pertinentes pour les victimes, arrivent via le canal de communication prévu et les faux sites Web liés semblent comme prévu. »
De plus, la diversification de l’empreinte victimologique a été complétée par des améliorations de la boîte à outils qui permettent aux groupes d’escrocs d’accélérer le processus d’escroquerie grâce à la génération automatisée de pages de phishing, d’améliorer la communication avec les cibles via des chatbots interactifs, de protéger les sites Web de phishing contre les perturbations causées par les concurrents, et d’autres objectifs.
Les opérations de Telekopye n’ont pas été sans leur lot de contretemps. En décembre 2023, les forces de l’ordre de Tchéquie et d’Ukraine ont annoncé l’arrestation de plusieurs cybercriminels soupçonnés d’avoir utilisé le robot malveillant Telegram.
« Les programmeurs ont créé, mis à jour, entretenu et amélioré le fonctionnement des robots Telegram et des outils de phishing, tout en garantissant l’anonymat des complices sur Internet et en fournissant des conseils sur la dissimulation d’activités criminelles », a déclaré la police de la République tchèque. dit dans une déclaration à l’époque.
« Les groupes en question étaient gérés, à partir d’espaces de travail dédiés, par des hommes d’âge moyen originaires d’Europe de l’Est et d’Asie occidentale et centrale », a déclaré ESET. « Ils ont recruté des personnes se trouvant dans des situations de vie difficiles, via des offres d’emploi sur des portails d’emploi promettant de l’argent facile, ainsi qu’en ciblant les étudiants étrangers techniquement qualifiés dans les universités. »