Malware-Akteure missbrauchen die GitHub-Plattform, um Phishing-Kits zu speichern
In den letzten Jahren war es gängige Praxis, dass Cyberkriminelle schädliche Kits auf Social-Networking- und Consumer-Cloud-Speicherplattformen wie Facebook, Dropbox, Paypal, eBay und Google Drive hosten. Durch die Verwendung solcher Domains können Whitelists und Netzwerkverteidigungen umgangen werden, sodass die Malware-Betreiber ihre Aktivitäten in den legitimen Webdatenverkehr integrieren und ihre Ziele problemlos erreichen können.
Im April 2019 fanden Forscher heraus, dass mindestens seit Mitte 2017 auch böswillige Akteure die beliebte GitHub-Code-Hosting-Plattform missbrauchen, um Phishing-Kits auf der Domain $ github_username.github.io zu speichern. Die Phisher verwendeten GitHub-freie Code-Repositorys, sodass Cybersicherheitsexperten alle ihre Aktionen überwachen und analysieren konnten. Es wurde beobachtet, dass die Gauner die Phishing-Kits an ihre speziellen Zwecke anpassten, z. B. wurden Indikatoren für Kompromisse einschließlich verkürzter Links aktualisiert oder Landing Pages geändert, um die Einschränkungen von GitHub zu umgehen, indem ein auf einer Remotedomäne gehostetes PHP-Skript anstelle von verwendet wurde die lokale für das Kit.
Eines der Phishing-Kits, mit denen Benutzer über Spam-E-Mails an auf GitHub gehostete böswillige Zielseiten weitergeleitet wurden , diente dem Diebstahl von Anmeldeinformationen von Kunden einer Einzelhandelsbank. Die Forscher stellten außerdem fest, dass die Anmeldeinformationen und die anderen vertraulichen Informationen, die von den Phishing-Kits gesammelt wurden, an andere kompromittierte Server gesendet wurden, die von denselben Personen kontrolliert wurden, die die entsprechenden GitHub-Konten besaßen. Außerdem bietet github.io keine PHP-Back-End-Dienste an, sodass die auf der Plattform gespeicherten Phishing-Kits keine PHP-basierten Tools enthielten.
Die Forscher gaben an, dass GitHub bei der Behebung des Missbrauchs ihres Systems äußerst reaktionsschnell war, und alle entdeckten Konten, die an den Phishing-Kampagnen beteiligt waren, wurden bereits entfernt.
Ähnlich wie im Fall GitHub versuchte im Februar 2019 ein anderes Phishing-Tool, das auf Mobilgeräten als Google Translate getarnt war, Facebook- und Google-Anmeldedaten zu stehlen. In ähnlicher Weise wurde auch der Azure-Blob-Speicher von Microsoft missbraucht: Angreifer versuchten, Anmeldeinformationen für Office 365-, Outlook-, Azure AD- und Microsoft-Konten zu stehlen, indem gefährdete Zielseiten mithilfe der gültigen Microsoft-SSL-Zertifikate der Windows.net-Subdomain als legitim angesehen wurden.