Les logiciels malveillants utilisent la plateforme GitHub pour stocker des kits de phishing

Au cours des dernières années, les cybercriminels ont pour habitude héberger des kits malveillants sur des réseaux sociaux et des plateformes de stockage dans le cloud grand public telles que Facebook, Dropbox, Paypal, eBay et Google Drive. utilisation de tels domaines permet de contourner les listes blanches et les défenses de réseau afin que les opérateurs de programmes malveillants puissent intégrer leurs activités au sein du trafic Web légitime et atteindre facilement leurs cibles.

En avril 2019, des chercheurs ont découvert qu au moins depuis la mi-2017, des acteurs malveillants avaient également abusé de la célèbre plateforme hébergement de code GitHub pour stocker des kits de phishing sur le domaine $ github_username.github.io. Les phishers utilisaient des référentiels de codes libres GitHub. Les experts en cybersécurité pouvaient ainsi surveiller et analyser toutes leurs actions. Il a été constaté que les escrocs personnalisaient les kits de phishing en fonction de leurs objectifs. Par exemple, les indicateurs de compromis, notamment les liens raccourcis, étaient mis à jour ou les pages de destination étaient modifiées pour contourner les limitations de GitHub en utilisant un script PHP hébergé sur un domaine distant au lieu de. le local pour le kit.

un des kits de phishing qui redirige les utilisateurs via des spams vers des pages de destination malveillantes hébergées sur GitHub a été conçu pour voler les informations identification des clients une banque de détail. Les chercheurs ont également découvert que les informations identification et les autres informations sensibles collectées par les kits de phishing étaient ensuite envoyées à autres serveurs compromis contrôlés par les mêmes personnes possédant les comptes GitHub correspondants. De plus, github.io ne propose pas de services back-end PHP, les kits de phishing stockés sur la plate-forme incluaient donc pas les outils PHP.

Les chercheurs ont déclaré que GitHub avait été extrêmement réactif dans la résolution des problèmes abus de leur système et que tous les comptes découverts impliqués dans les campagnes de phishing avaient déjà été supprimés.

Semblable à affaire GitHub, en février 2019, un autre outil de phishing déguisé en Google Translate sur des appareils mobiles a tenté de voler des informations de connexion à Facebook et à Google. Azure Blob Storage de Microsoft a également été utilisé de manière similaire: des attaquants ont tenté de voler les informations identification des comptes Office 365, Outlook, Azure AD et Microsoft en rendant légitimes les pages de destination compromises grâce à utilisation de certificats Microsoft SSL valides du sous-domaine Windows.net.