Des pirates exploitent le service GitHub pour héberger une variété de kits de phishing

0
161

Les chercheurs de Proofpoint l’ont déjà observé par le passé, les cybercriminels sont capables de détourner de nombreux services de leur usage initial à des fins malveillantes.

Depuis au moins la mi-2017, il semble que les acteurs malveillants aient abusé de GitHub et de ses fonctionnalités d’hébergement de sites Web gratuits pour héberger des kits de phishing et des redirections abusives vers des sites de phishing externes.

GitHub est “la première plateforme de développement de logiciels au monde” utilisée dans les industries, les projets open source, et représente même les meilleurs CV professionnels de nombreux développeurs. En raison de l’omniprésence de la plate-forme, de nombreuses entreprises ne bloquent rien de GitHub, donnant accès aux cybercriminels à une plate-forme avec de nombreuses utilisations légitimes sur lesquelles ils peuvent cacher du contenu malveillant, tout comme ils le font avec SharePoint, Dropbox, Google Drive, etc.

Par le passé, les acteurs de la lutte contre les menaces ont pu manquer de vigilance dans la détection d’activités malveillantes laissant place aux abus généralisés, mais dans le cadre de cette campagne, GitHub s’est montré réactif et particulièrement vigilant dans la suppression des comptes abusifs.

Dans les cas relevés par les chercheurs de Proofpoint, le code HTML des pages piégées hébergées sur github.io était fortement encodé de manière à camoufler la détection d’URL externes.

Tous ces espaces malveillants utilisent bien entendu des URL imitant des marques ou des domaines légitimes. Dans tous les cas, les kits sont obligés d’envoyer les données à l’extérieur afin de les enregistrer puisque GitHub ne permet aucun support de PHP.

Certains cybercriminels n’hésitent pas à forcer des redirections externes directement au sein des pages piégées servant d’intermédiaire sur GitHub :

Contrairement aux comptes privés payants, en raison de la nature des comptes publics GitHub, il est possible d’observer l’activité des acteurs qui modifient leurs pages Web hébergées liées aux kits de phishing. Ils sont régulièrement modifiés par différents acteurs pour répondre à des objectifs spécifiques. Par exemple, les liens de redirection basés sur des URL raccourcies sont régulièrement mises à jour. La plupart des kits de phishing repérés pointent directement vers des scripts PHP externent dont le rôle est d’enregistrer les données dérobées aux victimes.

Pour en savoir plus sur ce phénomène de phishing sur GitHub, visitez le blog Threat Insight de Proofpoint.