Una nueva estrategia de phishing emplea comentarios en GitHub para propagar malware.
La realización de auditorías de seguridad de manera regular y la actualización de los sistemas de filtrado de correos electrónicos podrían ser de gran utilidad.
Una nueva campaña de phishing detectada ha revelado que los ciberdelincuentes están utilizando un enfoque inusual al aprovechar repositorios confiables de GitHub para la entrega de malware. Este ataque se dirige a organizaciones que confían en GitHub como una plataforma para desarrolladores, lo que permite a los atacantes eludir las protecciones de seguridad.
En lugar de crear repositorios maliciosos, los atacantes incrustaron malware en repositorios legítimos vinculados a organizaciones fiscales como UsTaxes, HMRC e Inland Revenue. Esta táctica les permite eludir las protecciones de los Gateways de Correo Electrónico Seguro (SEG), complicando aún más la defensa cibernética de las víctimas. Además, la campaña capitaliza la urgencia observada en la época de presentación de impuestos en EE. UU., justo después de la fecha límite de abril.
Los correos electrónicos asociados con esta campaña incluían enlaces a archivos comprimidos alojados en GitHub. A diferencia de ataques de phishing tradicionales que utilizan enlaces o archivos adjuntos sospechosos, estos correos parecían legítimos, ya que los repositorios de GitHub utilizados eran genuinos y reconocidos. También se agregaron contraseñas a los archivos comprimidos para mejorar la apariencia de legitimidad, lo que complicó la detección de malware por parte de los escáneres automatizados.
Una vez que los archivos protegidos por contraseña eran abiertos, se instalaba el troyano de acceso remoto Remcos en el sistema de la víctima, permitiendo a los atacantes obtener control total del dispositivo infectado. Un elemento clave de esta campaña fue el uso de comentarios en GitHub para subir archivos maliciosos. Aunque típicamente los comentarios son utilizados por los desarrolladores para discutir el contenido de un repositorio, los atacantes usaron este espacio para ocultar archivos comprometidos, eludiendo así los protocolos de seguridad habituales.
Incluso si se eliminaba el comentario original que contenía el enlace malicioso, el archivo perjudicial permanecía accesible en el directorio del repositorio. Aunque este método ya había sido empleado en otras ocasiones, como con el malware Redline Stealer, la presente campaña marca un avance significativo en la utilización de comentarios de GitHub como vector de distribución de malware.
El enfoque de esta campaña se centró principalmente en las industrias financiera y de seguros, particularmente vulnerables durante la temporada de impuestos debido a la gran cantidad de datos financieros sensibles que manejan. Los atacantes parecen haber realizado pruebas con una campaña más pequeña enfocada en estos sectores. En comparación con campañas de phishing anteriores que utilizaban técnicas como códigos QR, este ataque muestra un enfoque más específico, lo que sugiere que los delincuentes cibernéticos estaban experimentando con el método basado en GitHub antes de ampliarlo.
Las campañas de phishing siguen siendo una de las tácticas más persistentes y efectivas de los cibercriminales para acceder a información sensible. Estos ataques a menudo involucran correos electrónicos o mensajes engañosos que inducen a los usuarios a hacer clic en enlaces maliciosos, descargar archivos dañinos o revelar información personal.
Con el paso del tiempo, las técnicas de phishing han evolucionado, volviéndose más sofisticadas y difíciles de detectar. Los delincuentes cibernéticos ahora aprovechan plataformas confiables, disfrazan sus intenciones maliciosas detrás de mensajes que parecen legítimos y emplean técnicas avanzadas de ingeniería social.
