GitHub Üzerinde Barındırılan Sunucusuz Oltalama Kiti Meksika Bankalarını Hedef Alıyor Yazılım

GitHub Üzerinde Barındırılan Sunucusuz Oltalama Kiti Meksika Bankalarını Hedef Alıyor

Group-IB, Meksika bankalarını hedef alan ve GitHub Pages ile SheetBest üzerinden çalışan sunucusuz bir oltalama kiti olan GitBait'i ortaya çıkardı.

Group-IB araştırmacıları, yaklaşık üç yıldır Meksika'daki en az 12 finans kurumunu hedef alan ve herhangi bir sunucu altyapısı kullanmadan, tamamen güvenilir bulut platformlarına gizlenerek çalışan bir oltalama kampanyasını ortaya çıkardı. GitBait adı verilen bu kampanya, sahte banka sayfalarını GitHub Pages üzerinde barındırıyor ve çalınan kimlik bilgilerini Google Sheets'e yazmak için meşru bir hizmet olan SheetBest'i kullanıyor. Bu sayede saldırganlar, ele geçirilmesi zor bir altyapı oluşturuyor.

Geleneksel oltalama saldırıları genellikle özel sunucular ve alan adları gerektirirken, GitBait tamamen sunucusuz bir yaklaşım benimsiyor. Sahte banka sayfaları GitHub Pages üzerinde yayınlanırken, form verileri SheetBest API'si aracılığıyla doğrudan Google Sheets'e aktarılıyor. Bu yöntem, saldırganların kendi altyapılarını yönetme ihtiyacını ortadan kaldırırken, güvenilir platformların itibarından faydalanarak tespit edilmeyi zorlaştırıyor.

Group-IB, kampanyayla bağlantılı 100'den fazla GitHub alan adı tespit etti. Her bir alan adı birden fazla oltalama sayfası barındırıyordu. Saldırganlar, her GitHub reposunda aynı sayfaların kopyalarını tutarak, kaldırılan bir sayfanın yerine hızlıca yenisini koyabiliyordu. Operasyon paneli, hem masaüstü hem de mobil cihazlarda çalışabiliyor ve saldırganların hedef bankayı seçip otomatik olarak uyumlu bir sahte sayfa oluşturmasına olanak tanıyordu.

Gelecekte Ne Bekleniyor?

Kurbanlar, bankanın markasını birebir kopyalayan bir sayfaya yönlendiriliyordu. Bu sayfada kullanıcı adı, müşteri numarası, şifre ve kart bilgileri gibi hassas verileri isteyen bir form bulunuyordu. Form gönderildikten sonra, bir JavaScript kodu bilgileri SheetBest'e gönderiyor ve kullanıcıya sahte bir doğrulama ekranı göstererek güvenini kazanmaya çalışıyordu. Sayfalar, arama motorlarında görünmemek için 'noindex' etiketi kullanırken, WhatsApp, Telegram ve SMS gibi platformlarda paylaşıldığında banka markasını yansıtan özel Open Graph etiketleri içeriyordu.

Sistem Güvenliği

GitHub'daki commit kayıtları, operasyonun sürekli güncellendiğini gösteriyor. 66 commit, üç katkıda bulunan hesap (bazıları aynı e-posta adresini kullanıyor), Jekyll ve GitHub Actions ile otomatik yayınlama ve bir operatör hesabının hala aktif olan uç nokta rotasyonu dikkat çekiyor. Ayrıca, sayfalar rastgele yollardan gizlenmiş JavaScript çekiyor, böylece operatörler sayfayı değiştirmeden yükleri değiştirebiliyor ve statik analizi zorlaştırıyordu.

Group-IB, GitBait'in suçluların geleneksel kötü amaçlı yazılım ve özel sunuculardan uzaklaşarak günlük bulut hizmetlerine ve hazır kitlere yöneldiği daha geniş bir eğilimin parçası olduğunu belirtiyor. Bu tür saldırılara karşı, bankaların GitHub'da marka ihlallerini izlemesi, SheetBest gibi hizmetlere gelen beklenmedik trafiği işaretlemesi ve davranışsal tespit, çok faktörlü kimlik doğrulama (MFA) ve işlem uyarıları gibi önlemler alması öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: