Group-IB tarafından GitBait olarak adlandırılan bir phishing operasyonu, üç yıldır Meksika'daki en az 12 finans kurumunun müşterilerinin bankacılık bilgilerini çalıyor. Bu operasyonun en dikkat çekici özelliği, kendi sunucu altyapısını kullanmak yerine GitHub Pages ve SheetBest gibi meşru bulut hizmetlerini kullanması. Saldırganlar, sahte banka sayfalarını GitHub Pages'te barındırıyor ve çalınan giriş bilgilerini SheetBest aracılığıyla doğrudan Google Sheets'e yazıyor. Bu sayede ele geçirilebilecek neredeyse hiçbir altyapı bırakmıyorlar.
Group-IB, kampanyayla bağlantılı 100'den fazla GitHub alan adı tespit etti ve hepsini GitHub'a bildirdi. Her bir alan adı birden fazla phishing sayfası barındırıyordu. Operasyonun merkezinde, saldırganların hedef bankayı seçip eşleşen bir sahte sayfa oluşturmasına olanak tanıyan modüler bir phishing seti yer alıyor. Her GitHub deposu kopya sayfalar içeriyordu, böylece kaldırılan bir sayfa hızla yeniden dağıtılabiliyordu.
Kurbanlar, bankanın markasını birebir taklit eden bir sayfaya yönlendiriliyor ve ardından kullanıcı adı, müşteri numarası, şifre ve kart bilgilerini isteyen bir formla karşılaşıyordu. Bir betik, bu bilgileri alıp SheetBest'e gönderiyor ve ardından kullanıcıya sahte bir doğrulama ekranı göstererek güvenini kazanıyordu. Group-IB, kurbanların nasıl çekildiğini doğrulayamasa da, doğrudan mesajlar yoluyla olduğuna dair kanıtlar bulunduğunu belirtiyor. Phishing sayfaları, WhatsApp, Telegram veya SMS üzerinden paylaşıldığında ikna edici bir banka önizleme kartı gösteren Open Graph etiketleri içeriyordu.
Group-IB, GitBait'in suçluların özel kötü amaçlı yazılımlar ve kendi barındırdıkları sunucular yerine günlük bulut hizmetlerine ve hazır kitlere yöneldiği daha geniş bir değişimin parçası olduğunu vurguluyor. Bu nedenle, bilinen kötü sitelerin kara listelerinin yeterli koruma sağlamadığı uyarısında bulunuyor. Bunun yerine bankaların, GitHub'da marka ihlallerini izlemeleri ve SheetBest gibi hizmetlere gelen beklenmedik trafiği işaretlemeleri, ayrıca davranışsal tespit, çok faktörlü kimlik doğrulama (MFA) ve işlem uyarılarına ağırlık vermeleri öneriliyor.