L’uso di GitHub per diffondere malware sta diventando una minaccia sempre più diffusa e pericolosa per la sicurezza informatica.
Una recente e complessa campagna di phishing ha utilizzato il sistema di commenti di GitHub per diffondere malware, aggirando i Secure Email Gateway – SEG – strumenti di sicurezza che analizzano e bloccano email contenenti potenziali minacce.
Phishing e GitHub: come si sono diffusi i malware
La recente campagna ha preso di mira principalmente l’ambito finanziario e il settore delle assicurazioni.
Invece di creare repository sospetti, gli attaccanti hanno sfruttato repository autentici associati a organizzazioni fiscali riconosciute come UsTaxes, HMRC – His Majesty’s Revenue & Customs – e InlandRevenue, rendendo le e-mail di phishing più difficili da identificare.
Le e-mail contenevano link a file zip protetti da password, ospitati su GitHub, che includevano il malware Remcos RAT – Remote Access Trojan. Attraverso questo software, gli hacker hanno la possibilità di ottenere accesso remoto ai dispositivi delle vittime.
Una parte centrale della campagna è stata l’uso della piattaforma GitHub, che è largamente considerata affidabile e ampiamente utilizzata dagli sviluppatori di software. I criminali hanno approfittato di questa fiducia, rendendo complessa la distinzione tra contenuti legittimi e pericolosi agli utenti.
In particolare, i file infetti venivano caricati nei commenti dei repository senza essere inseriti direttamente nel codice sorgente, sfuggendo così ai controlli di sicurezza standard.
L’uso dei commenti su GitHub ha favorito i cybercriminali, poiché i file dannosi potevano essere allegati senza essere soggetti alla revisione tipica dei repository di codice.
Campagne phishing: come tutelarsi?
Per proteggersi dal phishing, specialmente di fronte a campagne sofisticate come quella recentemente avvenuta, è importante adottare una combinazione di misure tecniche e comportamentali, tra cui:
- Formazione e consapevolezza: gli utenti devono essere formati regolarmente sulle tecniche di phishing, compreso il riconoscimento di email sospette, link ingannevoli e pratiche di sicurezza online. La consapevolezza del fatto che anche piattaforme legittime come GitHub possano essere sfruttate è cruciale. Inoltre, è necessario evitare di aprire allegati o cliccare su link in email non richieste, soprattutto se provengono da fonti sconosciute o inattese;
- Verifica delle fonti: prima di cliccare su un link in una email, se l’indirizzo URL sembra sospetto o non è correlato all’organizzazione legittima, è meglio non proseguire. Nel caso di email riguardanti argomenti sensibili come dichiarazioni fiscali o richieste urgenti di pagamento, è consigliabile contattare direttamente l’organizzazione tramite canali ufficiali per confermare la veridicità del messaggio.
- Utilizzo di strumenti tecnici: l’autenticazione a due fattori è un metodo di sicurezza che aggiunge un ulteriore livello di protezione ai propri account. In aggiunta, è importante valutare l’utilizzo di software di sicurezza che possa individuare e bloccare malware, come il Remcos RAT o altri trojan;
- Gestione dei repository GitHub: gli sviluppatori e i team IT dovrebbero gestire con attenzione le impostazioni dei repository, limitando i commenti non necessari e monitorando i contenuti caricati da terzi. Le organizzazioni che utilizzano GitHub dovrebbero regolarmente monitorare i loro repository per individuare eventuali file sospetti o commenti che potrebbero contenere malware;
- Monitoraggio continuo: il monitoraggio continuo è essenziale per rilevare tempestivamente minacce emergenti e proteggere gli utenti da campagne di phishing che sfruttano piattaforme come GitHub. Poiché gli attaccanti sfruttano la fiducia e la legittimità di repository esistenti, una sorveglianza costante è necessaria per mantenere sicure le piattaforme, evitare la diffusione del malware e migliorare le difese contro futuri attacchi;
- Uso di password complesse e gestione sicura dei file: gli archivi zip protetti da password, come quelli menzionati nell’attacco di phishing descritto, possono essere utilizzati per nascondere malware. È consigliabile non aprire questo tipo di file a meno che non siano stati esplicitamente richiesti da una fonte sicura;
- Backup regolari: è essenziale eseguire backup regolari dei dati critici e conservare copie offline o in ambienti sicuri. In caso di infezione da malware o trojan, i backup permettono di ripristinare i dati senza pagare riscatti o subire perdite significative.