Er is waargenomen dat er een nieuwe malwarecampagne met een belastingthema is gericht op de verzekerings- en financiële sector, waarbij gebruik wordt gemaakt van GitHub-links in phishing-e-mailberichten als een manier om beveiligingsmaatregelen te omzeilen en Remcos RAT te leveren, wat erop wijst dat de methode aan populariteit wint onder bedreigingsactoren.
“In deze campagne werden legitieme repository’s gebruikt, zoals de open-source software voor belastingaangifte, UsTaxes, HMRC en InlandRevenue in plaats van onbekende, low-star repository’s”, zei Cofense-onderzoeker Jacob Malimban.
“Het gebruik van vertrouwde repository’s om malware te leveren is relatief nieuw vergeleken met bedreigingsactoren die hun eigen kwaadaardige GitHub-repository’s creëren. Deze kwaadaardige GitHub-links kunnen worden gekoppeld aan elke repository die commentaar toestaat.”
Centraal in de aanvalsketen staat het misbruik van de GitHub-infrastructuur voor het organiseren van kwaadaardige payloads. Eén variant van de techniek, voor het eerst onthuld door OALABS Research in maart 2024, houdt in dat bedreigingsactoren een GitHub-probleem openen op bekende repository’s en daar een kwaadaardige lading naartoe uploaden, en vervolgens het probleem sluiten zonder het op te slaan.
Daarbij is gebleken dat de geüploade malware blijft bestaan, ook al wordt het probleem nooit opgeslagen, een vector die rijp is geworden voor misbruik omdat aanvallers elk bestand van hun keuze kunnen uploaden en geen enkel spoor achterlaten, behalve de link naar het bestand zelf.
Deze aanpak is ingezet om gebruikers te misleiden zodat ze een op Lua gebaseerde malware-lader downloaden die in staat is persistentie op geïnfecteerde systemen tot stand te brengen en extra payloads te leveren, zoals Morphisec deze week heeft beschreven.
De door Cofense gedetecteerde phishing-campagne maakt gebruik van een vergelijkbare tactiek, met als enige verschil dat het GitHub-opmerkingen gebruikt om een bestand (dat wil zeggen de malware) bij te voegen, waarna de opmerking wordt verwijderd. Net als in het bovengenoemde geval blijft de link actief en wordt deze verspreid via phishing-e-mails.
“E-mails met links naar GitHub zijn effectief in het omzeilen van de SEG-beveiliging, omdat GitHub doorgaans een vertrouwd domein is”, aldus Malimban. “Met GitHub-links kunnen bedreigingsactoren rechtstreeks linken naar het malware-archief in de e-mail zonder gebruik te hoeven maken van Google-omleidingen, QR-codes of andere SEG-bypass-technieken.”
De ontwikkeling komt op het moment dat Barracuda Networks nieuwe methoden onthulde die door phishers zijn gebruikt, waaronder ASCII- en Unicode-gebaseerde QR-codes en blob-URL’s als een manier om het moeilijker te maken om kwaadaardige inhoud te blokkeren en detectie te omzeilen.
“Een blob-URI (ook bekend als een blob-URL of een object-URL) wordt door browsers gebruikt om binaire gegevens of bestandachtige objecten (blobs genoemd) weer te geven die tijdelijk in het geheugen van de browser worden bewaard”, aldus beveiligingsonderzoeker Ashitosh Deshnur.
“Blob-URI’s stellen webontwikkelaars in staat om rechtstreeks in de browser met binaire gegevens zoals afbeeldingen, video’s of bestanden te werken, zonder deze van een externe server te hoeven verzenden of ophalen.”
Uit nieuw onderzoek van ESET blijkt ook dat de dreigingsactoren achter de Telekopye Telegram-toolkit hun aandacht hebben uitgebreid van oplichting op de online marktplaats naar accommodatieboekingsplatforms zoals Booking.com en Airbnb, met een scherpe stijging in juli 2024.
De aanvallen worden gekenmerkt door het gebruik van gecompromitteerde accounts van legitieme hotels en accommodatieaanbieders om contact op te nemen met potentiële doelwitten, waarbij vermeende problemen met de boekingsbetaling worden beweerd en hen worden misleid om op een valse link te klikken die hen vraagt hun financiële gegevens in te voeren.
“Met behulp van hun toegang tot deze accounts selecteren oplichters gebruikers die onlangs een verblijf hebben geboekt en nog niet hebben betaald (of zeer recentelijk hebben betaald) en nemen ze contact met hen op via de chat op het platform”, aldus onderzoekers Jakub Souček en Radek Jizba. “Afhankelijk van het platform en de instellingen van de Mammoth leidt dit ertoe dat de Mammoth een e-mail of sms ontvangt van het boekingsplatform.”
“Dit maakt de zwendel veel moeilijker te herkennen, omdat de verstrekte informatie persoonlijk relevant is voor de slachtoffers, via het verwachte communicatiekanaal binnenkomt en de gekoppelde, nepwebsites er uitzien zoals verwacht.”
Bovendien is de diversificatie van de slachtofferrol aangevuld met verbeteringen aan de toolkit waarmee de oplichtersgroepen het oplichtingsproces kunnen versnellen door middel van het automatisch genereren van phishing-pagina’s, de communicatie met doelwitten kunnen verbeteren via interactieve chatbots, phishing-websites kunnen beschermen tegen verstoring door concurrenten, en andere doelen.
De activiteiten van Telekopye zijn niet zonder problemen verlopen. In december 2023 kondigden wetshandhavingsfunctionarissen uit Tsjechië en Oekraïne de arrestatie aan van verschillende cybercriminelen die naar verluidt de kwaadaardige Telegram-bot hadden gebruikt.
“Programmeurs hebben de werking van Telegram-bots en phishing-tools gecreëerd, bijgewerkt, onderhouden en verbeterd, en de anonimiteit van medeplichtigen op internet gewaarborgd en advies gegeven over het verbergen van criminele activiteiten”, zei de politie van Tsjechië in een verklaring bij het tijd.
“De groepen in kwestie werden vanuit speciale werkruimtes beheerd door mannen van middelbare leeftijd uit Oost-Europa en West- en Centraal-Azië”, aldus ESET. “Ze rekruteerden mensen in moeilijke levenssituaties, via vacatures op vacaturesites die ‘makkelijk geld’ beloofden, en door zich te richten op technisch geschoolde buitenlandse studenten aan universiteiten.”