Cybersecurity-onderzoekers vestigen de aandacht op een nieuwe geavanceerde tool genaamd GoIssue die kan worden gebruikt om op grote schaal phishing-berichten te verzenden naar GitHub-gebruikers.
Het programma, dat eerder deze maand voor het eerst op de markt werd gebracht door cyberdluffy (ook bekend als Cyber D’Luffy) op het Runion-forum, wordt geadverteerd als een tool waarmee criminele actoren e-mailadressen uit openbare GitHub-profielen kunnen halen en bulk-e-mails rechtstreeks naar gebruikers kunnen sturen. inboxen.
“Of je nu een specifiek publiek wilt bereiken of je bereik wilt vergroten, GoIssue biedt de precisie en kracht die je nodig hebt”, beweerde de bedreigingsacteur in zijn post. “GoIssue kan bulk-e-mails naar GitHub-gebruikers sturen, rechtstreeks naar hun inbox, gericht op elke ontvanger.”
SlashNext zei dat de tool een “gevaarlijke verschuiving in gerichte phishing” markeert die zou kunnen fungeren als toegangspoort tot broncodediefstal, supply chain-aanvallen en inbreuken op bedrijfsnetwerken via gecompromitteerde ontwikkelaarsreferenties.
“Gewapend met deze informatie kunnen aanvallers op maat gemaakte massa-e-mailcampagnes lanceren die zijn ontworpen om spamfilters te omzeilen en zich te richten op specifieke ontwikkelaarsgemeenschappen”, aldus het bedrijf.
Een op maat gemaakte versie van GoIssue is beschikbaar voor $ 700. Als alternatief kunnen kopers voor $ 3.000 volledige toegang krijgen tot de broncode. Vanaf 11 oktober 2024 zijn de prijzen verlaagd naar $ 150 en $ 1.000 voor de custom build en de volledige broncode voor “de eerste 5 klanten”.
In een hypothetisch aanvalsscenario zou een bedreigingsacteur deze methode kunnen gebruiken om slachtoffers om te leiden naar neppagina’s die tot doel hebben hun inloggegevens te achterhalen, malware te downloaden of een frauduleuze OAuth-app te autoriseren die toegang vraagt tot hun privéopslagplaatsen en gegevens.
Een ander facet van cyberdluffy dat de aandacht trekt, is hun Telegram-profiel, waar ze beweren een ‘lid van het Gitloker-team’ te zijn. Gitloker werd eerder toegeschreven aan een op GitHub gerichte afpersingscampagne waarbij gebruikers werden misleid om op een link met boobytraps te klikken door zich voor te doen als de beveiligings- en rekruteringsteams van GitHub.
De links worden verzonden in e-mailberichten die automatisch worden geactiveerd door GitHub nadat de ontwikkelaarsaccounts zijn getagd in spamopmerkingen over willekeurige open problemen of pull-verzoeken waarbij gebruik wordt gemaakt van reeds gecompromitteerde accounts. De frauduleuze pagina’s instrueren hen om in te loggen op hun GitHub-accounts en een nieuwe OAuth-applicatie te autoriseren om op nieuwe banen te solliciteren.
Mocht de onoplettende ontwikkelaar alle gevraagde toestemmingen verlenen aan de kwaadaardige OAuth-app, dan gaan de bedreigingsactoren over tot het opschonen van de inhoud van de repository en vervangen deze door een losgeldbrief waarin het slachtoffer wordt aangespoord contact op te nemen met een persona genaamd Gitloker op Telegram.
“Het vermogen van GoIssue om deze gerichte e-mails in bulk te verzenden, stelt aanvallers in staat hun campagnes op te schalen, waardoor duizenden ontwikkelaars tegelijk worden getroffen”, aldus SlashNext. “Dit vergroot het risico op succesvolle inbreuken, gegevensdiefstal en gecompromitteerde projecten.”
De ontwikkeling komt op het moment dat Perception Point een nieuwe phishing-aanval in twee stappen schetste, waarbij gebruik wordt gemaakt van Microsoft Visio-bestanden (.vdsx) en SharePoint om inloggegevens over te hevelen. De e-mailberichten doen zich voor als een zakelijk voorstel en worden verzonden vanaf eerder gehackte e-mailaccounts om authenticatiecontroles te omzeilen.
“Door op de opgegeven URL in de hoofdtekst van de e-mail of in het bijgevoegde .eml-bestand te klikken, wordt het slachtoffer naar een Microsoft SharePoint-pagina geleid waarop een Visio-bestand (.vsdx) staat”, aldus het bedrijf. “Het SharePoint-account dat wordt gebruikt om de .vdsx-bestanden te uploaden en te hosten, wordt ook vaak gecompromitteerd.”
In het Visio-bestand is nog een klikbare link aanwezig die het slachtoffer uiteindelijk naar een valse Microsoft 365-inlogpagina leidt met als uiteindelijk doel zijn inloggegevens te verzamelen.
“Phishing-aanvallen in twee stappen waarbij gebruik wordt gemaakt van vertrouwde platforms en bestandsformaten zoals SharePoint en Visio worden steeds gebruikelijker”, aldus Perception Point. “Deze uit meerdere lagen bestaande ontwijkingstactieken maken misbruik van het vertrouwen van gebruikers in bekende tools en omzeilen detectie door standaard e-mailbeveiligingsplatforms.”