Según una nueva investigación, varios actores de amenazas utilizaron los dominios github.io como parte de campañas malintencionadas, incluidos ataques de phishing que dirigían a las víctimas a páginas legítimas alojadas en el servicio de GitHub.
En la mayoría de los casos analizados, los kits de phishing alojados en páginas de GitHub enviaban las credenciales y la información confidencial que recopilaban, a otros servidores comprometidos controlados por los atacantes detrás de la campaña de phishing.
Los ciberdelincuentes aprovecharon y usaron las cuentas gratuitas de GitHub, las cuales exponen toda la actividad del repositorio (en ese instante), lo que permitió monitorear sus acciones y descubrir que los kits de phishing se adaptaron activamente a sus propósitos, es decir, observaron actualizaciones de los indicadores de compromiso de enlaces acortados (URL’s), así como páginas de destino modificadas que usaban un script PHP alojado en un dominio remoto en lugar de uno local, para eludir las limitaciones de las páginas gratuitas de GitHub.
Las campañas de phishing que usan dominios legítimos para alojar páginas de destino maliciosas es un método popular empleado por los delincuentes cuando quieren evadir las listas blancas basadas en dominios con el fin de alcanzar sus objetivos.
En Febrero se detectó una campaña de phishing al intentar robar las credenciales de Google y Facebook haciendo uso de Google Translate como camuflaje en navegadores móviles. En otra ocasión se abusó del servicio Azure Blob Storage de Microsoft para que este pareciese legítimo al hacer que las páginas de destino usen de los certificados SSL de Microsoft válidos del subdominio de windows.net con el propósito de vulnerar Office 365, Azure Active Directory, Outlook y credenciales de cuentas de Microsoft.
REFERENCIA
COMENTARIOS