Es una nueva herramienta de phishing que marca un "peligroso cambio en el phishing dirigido"
Los investigadores de ciberseguridad están llamando la atención sobre una nueva y sofisticada herramienta llamada GoIssue que puede usarse para enviar mensajes de phishing a gran escala dirigidos a usuarios de GitHub.
El programa, comercializado por primera vez por un actor de amenazas llamado cyberdluffy (también conocido como Cyber D' Luffy) en el foro Runion a principios de agosto, se anuncia como una herramienta que permite a los actores criminales extraer direcciones de correo electrónico de perfiles públicos de GitHub y enviar correos electrónicos masivos directamente a las bandejas de entrada de los usuarios.
"Ya sea que desees llegar a una audiencia específica o expandir tu alcance, GoIssue ofrece la precisión y la potencia que necesitas", afirmó el actor de amenazas en su publicación. "GoIssue puede enviar correos electrónicos masivos a usuarios de GitHub, directamente a sus bandejas de entrada, dirigidos a cualquier destinatario".
SlashNext dijo que la herramienta marca un "peligroso cambio en el phishing dirigido" que podría actuar como una puerta de entrada para el robo de código fuente, ataques a la cadena de suministro y violaciones de la red corporativa a través de credenciales de desarrolladores comprometidas.
"Armados con esta información, los atacantes pueden lanzar campañas de correo electrónico masivas personalizadas diseñadas para eludir los filtros de spam y apuntar a comunidades de desarrolladores específicas", afirmó la compañía.
Hay disponible una versión personalizada de GoIssue por 700 dólares. Como alternativa, los compradores pueden obtener acceso completo a su código fuente por 3.000 dólares. A partir del 11 de octubre de 2024, los precios se han reducido a 150 y 1.000 dólares para la versión personalizada y el código fuente completo para "los primeros 5 clientes".
En un escenario de ataque hipotético, un actor de amenazas podría usar este método para redirigir a las víctimas a páginas falsas que tienen como objetivo capturar sus credenciales de inicio de sesión, descargar malware o autorizar una aplicación OAuth fraudulenta que solicita acceso a sus repositorios y datos privados.
Otra faceta de cyberdluffy que llama la atención es su perfil de Telegram, donde afirman ser "miembros del equipo Gitloker". Anteriormente se atribuyó a Gitloker una campaña de extorsión centrada en GitHub que consistía en engañar a los usuarios para que hicieran clic en un enlace con trampa haciéndose pasar por los equipos de seguridad y reclutamiento de GitHub.
Los enlaces se envían dentro de mensajes de correo electrónico que GitHub activa automáticamente después de que las cuentas de desarrollador se etiquetan en comentarios de spam en problemas abiertos aleatorios o solicitudes de extracción que utilizan cuentas ya comprometidas. Las páginas fraudulentas les piden que inicien sesión en sus cuentas de GitHub y autoricen una nueva aplicación OAuth para solicitar nuevos trabajos.
Si el desarrollador desatento otorga todos los permisos solicitados a la aplicación OAuth maliciosa, los actores de amenazas proceden a purgar todo el contenido del repositorio y reemplazarlo con una nota de rescate que insta a la víctima a comunicarse en Telegram con una persona llamada Gitloker.
"La capacidad de GoIssue de enviar estos correos electrónicos dirigidos de forma masiva permite a los atacantes ampliar sus campañas, lo que afecta a miles de desarrolladores a la vez", afirmó SlashNext. "Esto aumenta el riesgo de infracciones exitosas, robo de datos y proyectos comprometidos".
El desarrollo surge luego de que Perception Point describió un nuevo ataque de phishing de dos pasos que emplea archivos de Microsoft Visio (.vdsx) y SharePoint para robar credenciales. Los mensajes de correo electrónico se hacen pasar por una propuesta comercial y se envían desde cuentas de correo electrónico previamente violadas para eludir los controles de autenticación.
"Al hacer clic en la URL proporcionada en el cuerpo del correo electrónico o en el archivo .eml adjunto, la víctima es dirigida a una página de Microsoft SharePoint que aloja un archivo Visio (.vsdx)", afirmó la empresa. "La cuenta de SharePoint utilizada para cargar y alojar los archivos .vdsx también suele verse comprometida".
Dentro del archivo de Visio hay otro enlace en el que se puede hacer clic que finalmente lleva a la víctima a una página de inicio de sesión falsa de Microsoft 365 con el objetivo final de recopilar sus credenciales.
"Los ataques de phishing en dos pasos que aprovechan plataformas y formatos de archivos de confianza como SharePoint y Visio son cada vez más comunes", añadió Perception Point. "Estas tácticas de evasión de múltiples capas explotan la confianza de los usuarios en herramientas conocidas y evitan la detección por parte de las plataformas de seguridad de correo electrónico estándar".