GitHub'daki Sunucusuz Kimlik Avı Kiti Meksika Bankalarını Hedefliyor Siber Güvenlik

GitHub'daki Sunucusuz Kimlik Avı Kiti Meksika Bankalarını Hedefliyor

Uzun süredir devam eden bir kimlik avı operasyonu, Meksika finans kurumlarının müşterilerinin bankacılık bilgilerini, kendilerine ait herhangi bir sun...

Uzun süredir devam eden bir kimlik avı operasyonu, Meksika finans kurumlarının müşterilerinin bankacılık bilgilerini, kendilerine ait herhangi bir sunucu altyapısı çalıştırmadan, bunun yerine güvenilir bulut platformlarının içinde saklanarak çalıyor.

Group-IB'den gelen yeni analiz, GitBait adını verdiği kampanyayı detaylandırdı ve bunu yaklaşık üç yıl boyunca Meksika'daki en az 12 finans kuruluşuna yapılan saldırılarla ilişkilendirdi.

GitBait, özel bir arka uç yerine sahte banka sayfalarını GitHub Sayfalarında barındırdı ve çalınan oturum açma bilgilerini, verileri doğrudan Google E-Tablolar'a yazan ve ele geçirilecek çok az altyapı bırakan meşru bir hizmet olan SheetBest aracılığıyla aktardı.

Group-IB, kampanyaya bağlı, her biri çeşitli kimlik avı sayfaları sunan 100'den fazla GitHub tarafından barındırılan alan adı saydı ve bunların hepsini GitHub'a bildirdiğini söyledi.

Büyük ölçekli kimlik avı kitleri hakkında daha fazlasını okuyun: Quantum Route Redirect Phishing Kit, Siber Saldırıları Demokratikleştiriyor

Sunucusuz Bir Operasyonun İçinde

Merkezde, saldırganların hedef bankayı seçmesine ve eşleşen bir sahte sayfa oluşturmasına olanak tanıyan, masaüstü ve mobil operatör paneline sahip modüler bir kimlik avı kiti bulunuyordu.

Sistem Güvenliği

Her GitHub deposunda kopya sayfalar bulunuyordu, böylece kaldırılan sayfalar hızlı bir şekilde yeniden konuşlandırılabiliyordu.

Kurbanlar önce bir bankanın markasını kopyalayan bir sayfaya, ardından da kullanıcı adlarını, müşteri kimliklerini, şifreleri ve kart ayrıntılarını içeren bir forma ulaştı. Bir komut dosyası girişi yakaladı, SheetBest'e gönderdi ve ardından kullanıcının güvenini korumak için sahte bir doğrulama ekranı gösterdi.

Sonuç ve Değerlendirme

Grup-IB, mağdurların nasıl tuzağa düşürüldüğünü doğrulayamadı ancak kanıtlar doğrudan mesajlara işaret ediyordu. Kimlik avı sayfaları, WhatsApp, Telegram veya SMS'te bir bağlantı paylaşıldığında ikna edici bir banka markalı önizleme kartı oluşturan hazırlanmış Açık Grafik etiketleri taşıyordu; noindex etiketi ise onları arama sonuçlarının dışında tutuyordu.

Bir depodaki kayıtlar, aktif bakım altında bir işlemi ortaya çıkardı:

Sürekli gelişimi gösteren 66 taahhüt

Üç katılımcı hesabı, bazıları aynı e-posta adresini paylaşıyor

Nasıl Önlem Alınmalı?

Jekyll ve GitHub Actions aracılığıyla otomatik yayınlama

Analiz sırasında hâlâ aktif olan bir operatör hesabının uç nokta rotasyonu

Detaylar ve Etkileri

Sayfalar aynı zamanda karmaşık JavaScript'i rastgele yollardan çekerek operatörlerin sayfayı değiştirmeden yükleri değiştirmesine olanak tanıdı ve statik analize engel oldu.

Engelleme Listelerinin Ötesinde

Önemli Gelişmeler

Group-IB, GitBait'i, suçluların özel kötü amaçlı yazılımlar ve kendi kendine barındırılan sunucular yerine günlük bulut hizmetlerine ve hazır kitlere yöneldiği daha geniş bir değişimin parçası olarak çerçeveledi; bu, son birkaç yılda görülen hizmet olarak kimlik avı platformlarının yükselişini yansıtıyordu.

Operasyon güvenilir alanlara dayandığından firma, bilinen kötü sitelerin engellenenler listesinin çok az koruma sağladığı konusunda uyardı.

Uzmanların Görüşleri

Bunun yerine Group-IB, bankaları GitHub'u marka istismarı açısından izlemeye ve davranışsal algılama, çok faktörlü kimlik doğrulama (MFA) ve işlem uyarılarına dayanarak SheetBest gibi hizmetlere gelen beklenmedik trafiği işaretlemeye çağırdı.

Paylaş: