Uzun süredir devam eden bir siber saldırı kampanyası, Meksika finans kurumlarına ait bankacılık bilgilerini çalmak için kendi sunucu altyapısını kullanmak yerine güvenilir bulut platformlarının arkasına saklanıyor. Group-IB tarafından yapılan yeni bir analiz, GitBait adı verilen bu kampanyanın yaklaşık üç yıldır en az 12 Meksika finans kurumunu hedef aldığını ortaya koydu. Geleneksel phishing saldırılarından farklı olarak GitBait, sahte banka sayfalarını GitHub Pages üzerinde barındırıyor ve çalınan giriş bilgilerini doğrudan Google Sheets'e yazan SheetBest adlı meşru bir hizmet aracılığıyla topluyor. Bu sayede saldırganlar, kendilerine ait bir altyapı bırakmadan faaliyetlerini sürdürebiliyor.
Group-IB, kampanyayla bağlantılı 100'den fazla GitHub alan adı tespit etti. Her bir alan adı birden fazla phishing sayfası barındırıyordu ve şirket bunların tamamını GitHub'a bildirdi. Saldırıda kullanılan phishing kiti, modüler bir yapıya sahipti ve bir masaüstü ve mobil operatör paneli içeriyordu. Bu panel sayesinde saldırganlar, hedef bankayı seçip buna uygun sahte bir sayfa oluşturabiliyordu. Her GitHub deposu, kopyalanmış sayfaları barındırdığı için kaldırılan bir sayfa hızla yeniden dağıtılabiliyordu.
Kurbanlar, bir bankanın markasını birebir kopyalayan sahte bir sayfaya yönlendiriliyordu. Sayfada, kullanıcı adı, müşteri numarası, şifre ve kart bilgilerini isteyen bir form bulunuyordu. Bir komut dosyası, girilen bilgileri alıp SheetBest'e gönderiyor ve ardından kullanıcının güvenini korumak için sahte bir doğrulama ekranı gösteriyordu. Group-IB, kurbanların nasıl çekildiğini kesin olarak doğrulayamasa da, kanıtlar doğrudan mesajların kullanıldığına işaret ediyor. Phishing sayfaları, WhatsApp, Telegram veya SMS üzerinden bir bağlantı paylaşıldığında ikna edici bir banka markalı önizleme kartı oluşturmak için özel olarak hazırlanmış Open Graph etiketleri taşıyordu. Ayrıca, sayfaların arama sonuçlarında görünmemesi için noindex etiketi kullanılıyordu.
Nasıl Önlem Alınmalı?
Bir depodaki commit kayıtları, operasyonun sürekli olarak güncellendiğini gösteriyor: 66 commit, sürekli geliştirmeyi; üç katkıda bulunan hesap (bazıları aynı e-posta adresini paylaşıyor); Jekyll ve GitHub Actions aracılığıyla otomatik yayınlama; ve analiz sırasında hala aktif olan bir operatör hesabı tarafından endpoint rotasyonu. Sayfalar ayrıca, rastgele yollardan gizlenmiş JavaScript çekiyordu, böylece operatörler sayfayı değiştirmeden yükleri değiştirebiliyor ve statik analizi zorlaştırıyordu.
Group-IB, GitBait'i suçluların geleneksel kötü amaçlı yazılım ve kendi barındırdıkları sunucular yerine günlük bulut hizmetlerine ve hazır kitlere yöneldiği daha geniş bir eğilimin parçası olarak görüyor. Bu durum, son yıllarda görülen hizmet olarak phishing (PhaaS) platformlarının yükselişini yansıtıyor. Operasyonun güvenilir alan adlarına dayanması nedeniyle, şirket bilinen kötü sitelerin kara listelerinin çok az koruma sağladığı konusunda uyarıyor.
Teknik Analiz
Bunun yerine Group-IB, bankaları GitHub'da marka ihlalleri için izleme yapmaya ve SheetBest gibi hizmetlere gelen beklenmedik trafiğe karşı uyanık olmaya çağırıyor. Davranışsal tespit, çok faktörlü kimlik doğrulama (MFA) ve işlem uyarıları gibi önlemlerin bu tür saldırılara karşı daha etkili olabileceği belirtiliyor. Bu saldırı, siber güvenlik dünyasında serverless ve bulut tabanlı phishing tehditlerinin ne kadar ciddi boyutlara ulaştığını gösteriyor.
Kaynak: infosecurity-magazine.com