PhishinGit: фишинг на GitHub через поддельные загрузки Adobe

Исследователи из CYJAX выявили фишинговую кампанию под названием PhishinGit, в которой злоумышленники используют легитимные облачные платформы и продвинутые приёмы уклонения от обнаружения. Мишенью кампании служат пользователи, перенаправляемые по ссылкам из маркетинговых инструментов, а конечная цель — развертывание удалённого доступа и возможная эксфильтрация конфиденциальных данных.

«PhishinGit — кампания по фишингу, раскрытая CYJAX.»

Как работает атака

По данным расследования, цепочка действий атакующих выглядит примерно так:

• Изначальная точка — ссылка Pardot (часть набора marketing tools от Salesforce), по которой жертва переходит;
• Далее идёт серия перенаправлений, в ходе которых используются страницы на GitHub.io и хостинг файлов в Dropbox;
• На одном из обнаруженных репозиториев — xlsxpreview — находился HTML-файл, генерирующий поддельную страницу Adobe CAPTCHA, имитирующую легитимный интерфейс;
• Атака включает приёмы Browser-in-the-Browser (BitB), позволяющие отображать фальшивые окна аутентификации/CAPTCHA внутри браузера;
• В репозитории также хранятся шесть JavaScript-файлов для антианализа: обнаружение ботов, снятие отпечатков пальцев, автоматизация взаимодействия с CAPTCHA и управление перенаправлениями.

Технические детали и приёмы уклонения

Ключевые технические элементы кампании:

• GitHub.io как хостинг вредоносного контента. Использование доверенного домена упрощает обход фильтров и повышает вероятность того, что пользователь доверится странице.
• Browser-in-the-Browser (BitB). Техника, создающая фальшивые модальные окна или окна авторизации внутри страницы — это эффективно вводит пользователя в заблуждение.
• Dropbox для размещения полезной нагрузки. Хостинг исполняемых/вредоносных файлов на Dropbox снижает подозрительность трафика и облегчает доставку файлов.
• JavaScript для антианализа и обнаружения ботов. Наличие нескольких скриптов указывает на намерение избежать анализа и автоматизированного детектирования: проверка окружения, снятие отпечатков, управление редиректами и обход CAPTCHA.
• Возможная компрометация легитимных сайтов / XSS. Метод генерации поддельной страницы Adobe CAPTCHA может указывать на внедрение через XSS либо на попытку упаковать всё вредоносное поведение в один сценарий для маскировки.

Мотивы злоумышленников и последствия

Точная мотивация авторов PhishinGit пока не установлена, но имеющиеся признаки указывают на несколько вероятных целей:

• установка дистанционного доступа и поддержание persistent access (отмечено использование ScreenConnect);
• сбор конфиденциальной информации для последующей продажи или вымогательства;
• разведка и подготовка к дальнейшим целевым атакам с наблюдением за скомпрометированными системами.

Особо примечательно, что злоумышленники демонстрируют высокий уровень шаблонизации страниц и скорость развертывания — это позволяет им быстро воспроизводить схемы и снижать операционные затраты.

Соответствие MITRE ATT&CK

Атака коррелирует с несколькими техниками из MITRE ATT&CK framework, среди которых:

• Execution with user interaction — T1204;
• Service Control Manager (SCM) — (указан как техника, применимая при закреплении оборотов атаки);
• Command and Scripting Interpreter: закрепление через скрипты — T1569.002;
• Phishing: Masquerading — T1566.015 (маскировка под легитимные загрузки и интерфейсы).

Индикаторы компрометации (IoC) и обнаружение

• Наличие неожиданных перенаправлений с доменов Pardot / Salesforce на страницы GitHub.io;
• Страницы с именем или репозиторием xlsxpreview или похожими шаблонами, содержащие одиночный HTML-файл и набор JavaScript-скриптов для антианализа;
• Необычные загрузки или обращения к ресурсам Dropbox после перехода по маркетинговой ссылке;
• Появление или установка ScreenConnect без согласия администратора;
• Автоматизированные или «странные» всплывающие окна CAPTCHA/авторизации, особенно если они выглядят как встроенные браузерные окна (признак BitB).

Рекомендации по защите

Для повышения устойчивости организаций к подобным кампаниям эксперты рекомендуют:

• Усилить проверку входящих маркетинговых ссылок и взаимодействие с третьими сторонами, использующими Pardot / Salesforce;
• Обыскать и блокировать подозрительные GitHub.io страницы и паттерны URL в рамках политики прокси/фильтрации;
• Контролировать и ограничивать загрузки с внешних хранилищ, включая Dropbox;
• Внедрить EDR/NGAV-решения, способные детектировать поведенческие индикаторы установки Remote Access Tools (например, ScreenConnect);
• Проводить обучение пользователей по распознаванию фишинга и особенностей BitB — например, обращать внимание на несоответствие адресной строки и домена в поддельных окнах;
• Ввести Content Security Policy и ограничить исполнение неподписанных скриптов, где это возможно;
• Сообщать о подозрительных репозиториях и страницах поставщикам платформ и в профильные CERT/ISAC.

Вывод

PhishinGit демонстрирует растущую тенденцию злоумышленников использовать доверенные платформы (GitHub, Dropbox, маркетинговые сервисы) и сложные техники уклонения (BitB, антианализ через JavaScript) для успешного распространения вредоносного ПО. Масштаб и скорость развертывания атак, а также использование инструментов удалённого доступа делают такую кампанию серьёзной угрозой для организаций, требующей скоординированных мер по обнаружению, предотвращению и реагированию.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.