Peneliti keamanan siber meminta perhatian pada alat canggih baru yang disebut GoIssue yang dapat digunakan untuk mengirim pesan phishing dalam skala besar yang menargetkan pengguna GitHub.
Program ini, pertama kali dipasarkan oleh pelaku ancaman bernama cyberdluffy (alias Cyber D' Luffy) di forum Runion awal Agustus ini, diiklankan sebagai alat yang memungkinkan pelaku kriminal mengekstrak alamat email dari profil GitHub publik dan mengirim email massal langsung ke pengguna. kotak masuk.
“Apakah Anda ingin menjangkau khalayak tertentu atau memperluas jangkauan Anda, GoIssue menawarkan ketepatan dan kekuatan yang Anda butuhkan,” klaim pelaku ancaman dalam postingan mereka. “GoIssue dapat mengirim email massal ke pengguna GitHub, langsung ke kotak masuk mereka, menargetkan penerima mana pun.”
SlashNext mengatakan alat tersebut menandai “pergeseran berbahaya dalam phishing yang ditargetkan” yang dapat bertindak sebagai pintu gerbang menuju pencurian kode sumber, serangan rantai pasokan, dan pelanggaran jaringan perusahaan melalui kredensial pengembang yang disusupi.
“Berbekal informasi ini, penyerang dapat meluncurkan kampanye email massal yang dirancang untuk melewati filter spam dan menargetkan komunitas pengembang tertentu,” kata perusahaan itu.
Versi khusus GoIssue tersedia dengan harga $700. Alternatifnya, pembeli dapat memperoleh akses penuh ke kode sumbernya seharga $3.000. Mulai 11 Oktober 2024, harga telah dipangkas menjadi $150 dan $1.000 untuk versi kustom dan kode sumber lengkap untuk “5 pelanggan pertama”.
Dalam skenario serangan hipotetis, pelaku ancaman dapat menggunakan metode ini untuk mengarahkan korban ke halaman palsu yang bertujuan untuk menangkap kredensial login mereka, mengunduh malware, atau mengotorisasi aplikasi OAuth jahat yang meminta akses ke repositori dan data pribadi mereka.
Aspek lain dari cyberdluffy yang patut mendapat perhatian adalah profil Telegram mereka, di mana mereka mengaku sebagai “anggota Tim Gitloker”. Gitloker sebelumnya dikaitkan dengan kampanye pemerasan yang berfokus pada GitHub yang melibatkan menipu pengguna agar mengklik tautan jebakan dengan meniru tim keamanan dan rekrutmen GitHub.
Tautan dikirim dalam pesan email yang dipicu secara otomatis oleh GitHub setelah akun pengembang ditandai dalam komentar spam pada masalah terbuka acak atau permintaan penarikan menggunakan akun yang sudah disusupi. Halaman palsu tersebut menginstruksikan mereka untuk masuk ke akun GitHub dan memberi otorisasi pada aplikasi OAuth baru untuk melamar pekerjaan baru.
Jika pengembang yang lalai memberikan semua izin yang diminta ke aplikasi OAuth berbahaya, pelaku ancaman akan membersihkan semua konten repositori dan menggantinya dengan catatan tebusan yang mendesak korban untuk menghubungi persona bernama Gitloker di Telegram.
“Kemampuan GoIssue untuk mengirim email bertarget ini secara massal memungkinkan penyerang meningkatkan kampanye mereka, sehingga berdampak pada ribuan pengembang sekaligus,” kata SlashNext. “Hal ini meningkatkan risiko keberhasilan pelanggaran, pencurian data, dan proyek yang disusupi.”
Perkembangan ini terjadi ketika Perception Point menguraikan serangan phishing dua langkah baru yang menggunakan file Microsoft Visio (.vdsx) dan SharePoint untuk menyedot kredensial. Pesan email menyamar sebagai proposal bisnis dan dikirim dari akun email yang sebelumnya dibobol untuk melewati pemeriksaan otentikasi.
“Mengklik URL yang disediakan di badan email atau di dalam file .eml yang dilampirkan akan mengarahkan korban ke halaman Microsoft SharePoint yang menampung file Visio (.vsdx),” kata perusahaan itu. “Akun SharePoint yang digunakan untuk mengunggah dan menghosting file .vdsx juga sering disusupi.”
Ada dalam file Visio adalah tautan lain yang dapat diklik yang pada akhirnya mengarahkan korban ke halaman login Microsoft 365 palsu dengan tujuan akhir mengambil kredensial mereka.
“Serangan phishing dua langkah yang memanfaatkan platform tepercaya dan format file seperti SharePoint dan Visio menjadi semakin umum,” tambah Perception Point. “Taktik penghindaran berlapis ini mengeksploitasi kepercayaan pengguna terhadap alat yang sudah dikenal sambil menghindari deteksi oleh platform keamanan email standar.”