Malware Actors Abuse GitHub Platform to Store Phishing Kits

近年、サイバー犯罪者がFacebook、Dropbox、Paypal、eBay、Google Driveなどのソーシャルネットワーキングおよびコンシューマクラウドストレージプラットフォームで悪意のあるキットをホストすることが一般的になっています。このようなドメインを使用すると、ホワイトリストやネットワーク防御を回避できるため、マルウェアの運用者は正当なWebトラフィックの範囲内で活動を統合し、標的に簡単に到達できます。

2019年4月、研究者たちは、少なくとも2017年半ば以降、悪意のある攻撃者が、人気の高いGitHubコードホスティングプラットフォームを悪用して、$ github_username.github.ioドメインにフィッシングキットを保存していることを発見しました。フィッシャーはGitHubの無料コードレポジトリを使用していたので、サイバーセキュリティの専門家はすべての行動を監視および分析することができました。たとえば、リンクの短縮などの危殆化の指標が更新されたり、ランディングページがリモートドメインではなくリモートドメインでホストされたPHPスクリプトを使用してGitHub制限を回避するように変更されています。キット用のローカルなもの。

GitHubでホストされている悪意のあるランディングページにスパム電子メールを介してユーザーをリダイレクトするフィッシングキットの1つは、小売銀行の顧客から信用証明書を盗むように設計されています 。研究者はまた、フィッシングキットによって収集された認証情報とその他の機密情報が、対応するGitHubアカウントを所有していたのと同じ人々によって制御されている他の危険にさらされたサーバーに送信されることも発見しました。また、github.ioはPHPバックエンドサービスを提供していないため、プラットフォームに格納されているフィッシングキットにはPHPベースのツールは含まれていません。

研究者達は、GitHubは彼らのシステムの悪用を直すことに非常に敏感であり、そしてフィッシングキャンペーンに関連して発見されたアカウントの全ては既に取り下げられていると述べた。

GitHubの場合と同様に、2019年2月に、モバイルデバイスでGoogle Translateが偽装され、FacebookやGoogleのログイン情報が盗まれようとしました。 MicrosoftのAzure Blob Storageも同様の方法で悪用されています。攻撃者は、windows.netサブドメインの有効なMicrosoft SSL証明書を使用して、危険にさらされたランディングページを合法に見せることによって、Office 365、Outlook、Azure AD、およびMicrosoftアカウントの資格情報を盗み取ります。