Usuários do GitHub estão sendo alvo de uma campanha de phishing e extorsão que utiliza o sistema de notificação do site e um aplicativo OAuth malicioso para enganar as vítimas.
Uma discussão na comunidade GitHub aberta em fevereiro mostra que a campanha está em andamento há quase quatro meses. Na semana passada, o pesquisador de segurança da CronUp, Germán Fernández, destacou o golpe em uma postagem nas redes sociais.
Os alvos são envolvidos no golpe quando seu nome de usuário é mencionado em um comentário, acionando o envio de um e-mail legítimo do GitHub. Os comentários dos invasores se disfarçam como e-mails da equipe do GitHub, fazendo com que os usuários desavisados acreditem estar recebendo uma comunicação oficial.
Capturas de tela das discussões na comunidade GitHub mostram que os únicos sinais de que o e-mail se origina de um comentário são a linha de assunto, que começa com “Re:”, e uma linha no final do e-mail informando: “Você está recebendo isto porque foi mencionado”.
Os comentários de phishing se passam por ofertas de emprego ou alertas de segurança, incluindo links para sites falsos como githubcareers[.]online e githubtalentcommunity[.]online. Esses links levam as vítimas a conceder acesso a um aplicativo OAuth malicioso, permitindo que os invasores limpem os repositórios e substituam o conteúdo por um arquivo README que instrui a vítima a contatar "gitloker" no Telegram para recuperar seus dados.
O invasor utiliza contas comprometidas para postar mais comentários, gerando novos e-mails de phishing e colocando as contas das vítimas em risco de exclusão. Max Gannon, da Cofense, explicou que, embora não seja novo que hackers se façam passar por empresas legítimas, é raro que eles usem contas apenas para extorsão ao invés de ações mais avançadas, como enviar malware.
Fernández compartilhou evidências de outros golpes de extorsão vinculados ao Gitloker, incluindo ameaças de vazamento de dados se pagamentos não forem feitos. O GitHub está ciente dessa campanha desde fevereiro e aconselha os usuários a não clicarem em links suspeitos, a revisarem os aplicativos OAuth autorizados e a revogarem o acesso a aplicativos suspeitos.
Um porta-voz do GitHub recomendou aos usuários que revisem suas sessões ativas e tokens de acesso pessoal, alterem suas senhas e redefinam códigos de recuperação de dois fatores se suspeitarem de comprometimento. O GitHub investiga todas as atividades abusivas e toma medidas quando necessário.
Jason Kent, da Cequence Security, aconselhou os usuários a verificarem a legitimidade de aplicativos OAuth e a manterem uma estratégia de backup independente do GitHub para se recuperarem de possíveis ataques.
Via - SC
Comments