Sunucusuz Phishing Kiti: GitHub Üzerinden Meksika Bankalarına Yönelik Büyük Saldırı Yazılım

Sunucusuz Phishing Kiti: GitHub Üzerinden Meksika Bankalarına Yönelik Büyük Saldırı

Group-IB, Meksika bankalarına yönelik üç yıldır süren bir phishing operasyonu olan GitBait'i ortaya çıkardı. Saldırganlar, kendi sunucularını kullanma

Group-IB güvenlik araştırmacıları, Meksika'daki en az 12 finans kurumunu hedef alan ve yaklaşık üç yıldır devam eden bir phishing operasyonu keşfetti. GitBait adı verilen bu kampanya, geleneksel sunucu altyapısı yerine tamamen bulut tabanlı hizmetleri kullanarak dikkat çekiyor. Saldırganlar, sahte banka sayfalarını GitHub Pages üzerinde barındırırken, çalınan giriş bilgilerini SheetBest adlı meşru bir hizmet aracılığıyla doğrudan Google Sheets'e aktarıyor. Bu yöntem, ele geçirilebilecek fiziksel bir sunucu bırakmadığı için tespit ve müdahaleyi zorlaştırıyor.

Operasyonun merkezinde, hem masaüstü hem de mobil cihazlarda kullanılabilen bir operatör paneli bulunan modüler bir phishing kiti yer alıyor. Saldırganlar bu panelden hedef bankayı seçip otomatik olarak birebir kopya sahte sayfalar oluşturabiliyor. Her GitHub deposu birden fazla kopya sayfa içeriyor; böylece bir sayfa kaldırıldığında hemen yenisi dağıtılabiliyor. Kullanıcılar, bankanın markasıyla birebir aynı olan bir sayfaya yönlendiriliyor ve burada kullanıcı adı, müşteri numarası, şifre ve kart bilgileri gibi hassas verileri girmeleri isteniyor. Girilen bilgiler bir script tarafından alınıp SheetBest'e gönderilirken, kullanıcıya güveni sürdürmek için sahte bir doğrulama ekranı gösteriliyor.

Group-IB, kampanyanın 100'den fazla GitHub alan adı kullandığını ve her birinin birden çok phishing sayfası barındırdığını tespit etti. Saldırganların kurbanları nasıl çektiği tam olarak bilinmese de, doğrudan mesajlaşma yoluyla hedef alındıkları düşünülüyor. Phishing sayfaları, WhatsApp, Telegram veya SMS üzerinden paylaşıldığında bankanın markasını taşıyan ikna edici bir önizleme kartı oluşturmak için özel Open Graph etiketleri kullanıyor. Ayrıca sayfalar arama motorlarından gizlenmek için 'noindex' etiketi içeriyor. Bir depodaki commit kayıtları, operasyonun sürekli güncellendiğini gösteriyor: 66 commit, üç katkıda bulunan hesap (bazıları aynı e-posta adresini paylaşıyor), Jekyll ve GitHub Actions ile otomatik yayınlama ve analiz sırasında hala aktif olan bir operatör hesabı tarafından yapılan uç nokta rotasyonu.

Uzmanların Görüşleri

Group-IB, GitBait'in suçluların özel kötü amaçlı yazılım veya kendi sunucuları yerine gündelik bulut hizmetlerine ve hazır kitlere yöneldiği daha geniş bir eğilimin parçası olduğunu belirtiyor. Bu tür saldırılara karşı klasik kara liste yöntemlerinin yetersiz kaldığını vurgulayan araştırmacılar, bankaların GitHub'da marka ihlallerini izlemesini, SheetBest gibi hizmetlere gelen beklenmedik trafiği işaretlemesini ve davranışsal tespit, çok faktörlü kimlik doğrulama (MFA) ile işlem uyarıları gibi önlemleri kullanmasını öneriyor.

Paylaş: