GitHub Üzerinde Sunucusuz Kimlik Avı Kiti: Meksika Bankalarını Hedef Alan GitBait Yazılım

GitHub Üzerinde Sunucusuz Kimlik Avı Kiti: Meksika Bankalarını Hedef Alan GitBait

GitBait adlı sunucusuz kimlik avı operasyonu, GitHub Pages ve SheetBest kullanarak Meksika bankalarının müşteri bilgilerini üç yıldır çalıyor.

Group-IB araştırmacıları, GitBait adını verdikleri bir kimlik avı kampanyasının en az 12 Meksika bankasını hedef aldığını ortaya çıkardı. Üç yıla yayılan bu operasyon, geleneksel sunucu altyapısı kullanmak yerine GitHub Pages ve SheetBest gibi meşru bulut hizmetlerini kullanarak dikkat çekiyor. Sahte banka sayfaları GitHub'da barındırılırken, çalınan giriş bilgileri SheetBest aracılığıyla doğrudan Google Sheets'e aktarılıyor. Bu sayede saldırganlar, ele geçirilebilecek bir altyapı bırakmıyor.

Operasyonun merkezinde, hem masaüstü hem de mobil cihazlarda kullanılabilen bir kontrol paneli bulunuyor. Saldırganlar bu panelden hedef bankayı seçip otomatik olarak sahte bir sayfa oluşturabiliyor. Her GitHub deposu, kaldırılan sayfanın hızla yeniden dağıtılmasını sağlayan yinelenen sayfalar içeriyor. Kurbanlar, bankanın markasını birebir kopyalayan bir sayfaya yönlendiriliyor ve ardından kullanıcı adı, müşteri kimliği, şifre ve kart bilgilerini isteyen bir formla karşılaşıyor. Bilgiler girildikten sonra bir betik, verileri SheetBest'e gönderiyor ve kullanıcıya sahte bir doğrulama ekranı gösterilerek güven sağlanıyor.

Kurbanların nasıl hedef alındığı kesin olarak bilinmese de, doğrudan mesajlar yoluyla olduğu düşünülüyor. Sahte sayfalar, WhatsApp, Telegram veya SMS üzerinden paylaşıldığında banka markasını yansıtan özel Open Graph etiketleri içeriyor. Ayrıca sayfalar, arama motorlarında görünmemek için noindex etiketi kullanıyor. Bir depodaki commit kayıtları, operasyonun sürekli güncellendiğini gösteriyor: 66 commit, üç katkıda bulunan hesap ve Jekyll ile GitHub Actions kullanılarak otomatik yayınlama. Sayfalar ayrıca, rastgele yollardan gizlenmiş JavaScript çekerek statik analizi zorlaştırıyor ve yüklerin değiştirilmesine olanak tanıyor.

Group-IB, GitBait'in suçluların özel kötü amaçlı yazılım ve kendi sunucuları yerine bulut hizmetlerini ve hazır kitleri kullanma eğiliminin bir parçası olduğunu belirtiyor. Bu tür operasyonlar meşru alan adlarına dayandığından, bilinen kötü sitelerin kara listeleri yetersiz kalıyor. Uzmanlar, bankaların GitHub'da marka ihlallerini izlemesini, SheetBest gibi hizmetlere gelen beklenmedik trafiği tespit etmesini ve davranışsal algılama, çok faktörlü kimlik doğrulama (MFA) ile işlem uyarıları kullanmasını öneriyor.

Paylaş: