Group-IB araştırmacıları, Meksika'daki en az 12 finans kuruluşunu hedef alan ve üç yıldır devam eden bir oltalama operasyonunu ortaya çıkardı. GitBait adı verilen bu kampanya, kendi sunucusunu kullanmak yerine GitHub Pages ve SheetBest gibi meşru bulut hizmetlerini kötüye kullanarak saldırılarını gerçekleştiriyor. Bu sayede geleneksel güvenlik önlemlerini aşan saldırganlar, ele geçirdikleri kullanıcı bilgilerini doğrudan Google Sheets'e aktarıyor.
Operasyonun merkezinde, hem masaüstü hem de mobil uyumlu bir kontrol paneli ile çalışan modüler bir oltalama aracı bulunuyor. Saldırganlar hedef bankayı seçip otomatik olarak sahte bir giriş sayfası oluşturabiliyor. GitHub depolarında kopyalanan sayfalar sayesinde, kaldırılan bir sayfa hızla yeniden yayına alınabiliyor. Kurbanlar, bankanın markasını birebir taklit eden bir sayfaya yönlendiriliyor ve kullanıcı adı, şifre, kart bilgileri gibi hassas veriler çalınıyor.
Saldırıda kullanılan sahte sayfalar, WhatsApp, Telegram veya SMS üzerinden paylaşıldığında bankaya ait bir önizleme kartı gösteren Open Graph etiketleri içeriyor. Ayrıca sayfalar, arama motorlarında görünmemek için 'noindex' etiketi kullanıyor. Group-IB, operasyonun sürekli güncellendiğini ve 66 commit ile üç farklı hesap tarafından yönetildiğini tespit etti. Obfuscated JavaScript kodları ise statik analizi zorlaştırarak güvenlik ekiplerinin işini daha da güçleştiriyor.
Group-IB, bu tür saldırıların geleneksel kara listelerle engellenemeyeceği uyarısında bulunuyor. Bunun yerine bankaların GitHub'da marka ihlallerini izlemesi, SheetBest gibi servislere gelen anormal trafiği tespit etmesi ve davranışsal analiz, çok faktörlü kimlik doğrulama (MFA) ile işlem bildirimleri gibi önlemleri devreye alması gerektiğini vurguluyor. GitBait, siber suçluların meşru bulut hizmetlerini kullanarak nasıl daha etkili ve izlenmesi zor saldırılar düzenleyebildiğini gösteren çarpıcı bir örnek.