VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đang kêu gọi chú ý đến một công cụ tinh vi mới có tên là GoIssue, có thể được sử dụng để gửi tin nhắn lừa đảo trên diện rộng nhắm vào người dùng GitHub.

Chương trình này lần đầu tiên được một tác nhân đe dọa có tên cyberdluffy (hay còn gọi là Cyber D' Luffy) đưa ra thị trường trên diễn đàn Runion vào đầu tháng 8 này. Chương trình được quảng cáo là một công cụ cho phép tội phạm trích xuất địa chỉ email từ các hồ sơ GitHub công khai và gửi email hàng loạt trực tiếp đến hộp thư đến của người dùng.


"Cho dù bạn muốn tiếp cận một đối tượng cụ thể hay mở rộng phạm vi tiếp cận, GoIssue đều cung cấp độ chính xác và sức mạnh mà bạn cần", tác nhân đe dọa tuyên bố trong bài đăng của họ. "GoIssue có thể gửi email hàng loạt đến người dùng GitHub, trực tiếp đến hộp thư đến của họ, nhắm mục tiêu đến bất kỳ người nhận nào".

SlashNext cho biết công cụ này đánh dấu "sự thay đổi nguy hiểm trong hoạt động lừa đảo có chủ đích" có thể đóng vai trò là cửa ngõ cho hành vi đánh cắp mã nguồn, tấn công chuỗi cung ứng và vi phạm mạng lưới công ty thông qua thông tin xác thực của nhà phát triển bị xâm phạm.

Công ty cho biết : "Được trang bị thông tin này, kẻ tấn công có thể khởi chạy các chiến dịch email hàng loạt được thiết kế riêng để vượt qua bộ lọc thư rác và nhắm vào các cộng đồng nhà phát triển cụ thể".

Bản dựng tùy chỉnh của GoIssue có giá 700 đô la. Ngoài ra, người mua có thể truy cập hoàn toàn vào mã nguồn của nó với giá 3.000 đô la. Tính đến ngày 11 tháng 10 năm 2024, giá đã giảm xuống còn 150 đô la và 1.000 đô la cho bản dựng tùy chỉnh và mã nguồn đầy đủ cho "5 khách hàng đầu tiên".

Trong một kịch bản tấn công giả định, kẻ tấn công có thể sử dụng phương pháp này để chuyển hướng nạn nhân đến các trang giả mạo nhằm đánh cắp thông tin đăng nhập, tải xuống phần mềm độc hại hoặc cấp quyền cho ứng dụng OAuth giả mạo yêu cầu truy cập vào kho lưu trữ và dữ liệu riêng tư của họ.

Một khía cạnh khác của cyberdluffy đáng chú ý là hồ sơ Telegram của chúng, nơi chúng tự nhận là "thành viên của Nhóm Gitloker". Trước đây, Gitloker từng bị quy cho một chiến dịch tống tiền tập trung vào GitHub, bao gồm việc lừa người dùng nhấp vào liên kết có bẫy bằng cách mạo danh nhóm tuyển dụng và bảo mật của GitHub.


Các liên kết được gửi trong các tin nhắn email được GitHub tự động kích hoạt sau khi các tài khoản nhà phát triển được gắn thẻ trong các bình luận spam về các vấn đề mở ngẫu nhiên hoặc các yêu cầu kéo bằng các tài khoản đã bị xâm phạm. Các trang gian lận hướng dẫn họ đăng nhập vào tài khoản GitHub của họ và ủy quyền cho một ứng dụng OAuth mới để ứng tuyển việc làm mới.

Nếu nhà phát triển không chú ý cấp tất cả các quyền được yêu cầu cho ứng dụng OAuth độc hại, kẻ tấn công sẽ tiến hành xóa toàn bộ nội dung kho lưu trữ và thay thế chúng bằng một ghi chú đòi tiền chuộc yêu cầu nạn nhân liên hệ với một nhân vật có tên là Gitloker trên Telegram.

"Khả năng gửi các email mục tiêu này hàng loạt của GoIssue cho phép kẻ tấn công mở rộng chiến dịch của chúng, tác động đến hàng nghìn nhà phát triển cùng một lúc", SlashNext cho biết. "Điều này làm tăng nguy cơ vi phạm thành công, đánh cắp dữ liệu và các dự án bị xâm phạm".

Sự phát triển này diễn ra khi Perception Point phác thảo một cuộc tấn công lừa đảo hai bước mới sử dụng các tệp Microsoft Visio (.vdsx) và SharePoint để đánh cắp thông tin đăng nhập. Các tin nhắn email ngụy trang thành một đề xuất kinh doanh và được gửi từ các tài khoản email đã bị xâm phạm trước đó để bỏ qua các lần kiểm tra xác thực.

"Nhấp vào URL được cung cấp trong nội dung email hoặc trong tệp.eml đính kèm sẽ dẫn nạn nhân đến trang Microsoft SharePoint lưu trữ tệp Visio (.vsdx)", công ty cho biết. "Tài khoản SharePoint được sử dụng để tải lên và lưu trữ các tệp.vdsx cũng thường bị xâm phạm".

Trong tệp Visio có một liên kết có thể nhấp vào khác, cuối cùng sẽ dẫn nạn nhân đến trang đăng nhập Microsoft 365 giả mạo với mục đích cuối cùng là thu thập thông tin đăng nhập của họ.

"Các cuộc tấn công lừa đảo hai bước tận dụng các nền tảng và định dạng tệp đáng tin cậy như SharePoint và Visio đang ngày càng trở nên phổ biến", Perception Point cho biết thêm. "Những chiến thuật trốn tránh nhiều lớp này khai thác lòng tin của người dùng vào các công cụ quen thuộc trong khi tránh bị phát hiện bởi các nền tảng bảo mật email tiêu chuẩn".