Github e malware: come si nasconde il phishing?

L’uso di GitHub per diffondere malware sta diventando una minaccia sempre più diffusa e pericolosa per la sicurezza informatica.

Una recente e complessa campagna di phishing ha utilizzato il sistema di commenti di GitHub per diffondere malware, aggirando i Secure Email Gateway – SEG – strumenti di sicurezza che analizzano e bloccano email contenenti potenziali minacce.

 

Phishing e GitHub: come si sono diffusi i malware

La recente campagna ha preso di mira principalmente l’ambito finanziario e il settore delle assicurazioni.

Invece di creare repository sospetti, gli attaccanti hanno sfruttato repository autentici associati a organizzazioni fiscali riconosciute come UsTaxes, HMRC – His Majesty’s Revenue & Customs – e InlandRevenue, rendendo le e-mail di phishing più difficili da identificare.

Le e-mail contenevano link a file zip protetti da password, ospitati su GitHub, che includevano il malware Remcos RAT – Remote Access Trojan. Attraverso questo software, gli hacker hanno la possibilità di ottenere accesso remoto ai dispositivi delle vittime.

Una parte centrale della campagna è stata l’uso della piattaforma GitHub, che è largamente considerata affidabile e ampiamente utilizzata dagli sviluppatori di software. I criminali hanno approfittato di questa fiducia, rendendo complessa la distinzione tra contenuti legittimi e pericolosi agli utenti.

In particolare, i file infetti venivano caricati nei commenti dei repository senza essere inseriti direttamente nel codice sorgente, sfuggendo così ai controlli di sicurezza standard.

L’uso dei commenti su GitHub ha favorito i cybercriminali, poiché i file dannosi potevano essere allegati senza essere soggetti alla revisione tipica dei repository di codice.

 

Campagne phishing: come tutelarsi?

Per proteggersi dal phishing, specialmente di fronte a campagne sofisticate come quella recentemente avvenuta, è importante adottare una combinazione di misure tecniche e comportamentali, tra cui:

  • Formazione e consapevolezza: gli utenti devono essere formati regolarmente sulle tecniche di phishing, compreso il riconoscimento di email sospette, link ingannevoli e pratiche di sicurezza online. La consapevolezza del fatto che anche piattaforme legittime come GitHub possano essere sfruttate è cruciale. Inoltre, è necessario evitare di aprire allegati o cliccare su link in email non richieste, soprattutto se provengono da fonti sconosciute o inattese;

 

  • Verifica delle fonti: prima di cliccare su un link in una email, se l’indirizzo URL sembra sospetto o non è correlato all’organizzazione legittima, è meglio non proseguire. Nel caso di email riguardanti argomenti sensibili come dichiarazioni fiscali o richieste urgenti di pagamento, è consigliabile contattare direttamente l’organizzazione tramite canali ufficiali per confermare la veridicità del messaggio.
  • Utilizzo di strumenti tecnici: l’autenticazione a due fattori è un metodo di sicurezza che aggiunge un ulteriore livello di protezione ai propri account. In aggiunta, è importante valutare l’utilizzo di software di sicurezza che possa individuare e bloccare malware, come il Remcos RAT o altri trojan;

  • Gestione dei repository GitHub: gli sviluppatori e i team IT dovrebbero gestire con attenzione le impostazioni dei repository, limitando i commenti non necessari e monitorando i contenuti caricati da terzi. Le organizzazioni che utilizzano GitHub dovrebbero regolarmente monitorare i loro repository per individuare eventuali file sospetti o commenti che potrebbero contenere malware;

 

  • Monitoraggio continuo: il monitoraggio continuo è essenziale per rilevare tempestivamente minacce emergenti e proteggere gli utenti da campagne di phishing che sfruttano piattaforme come GitHub. Poiché gli attaccanti sfruttano la fiducia e la legittimità di repository esistenti, una sorveglianza costante è necessaria per mantenere sicure le piattaforme, evitare la diffusione del malware e migliorare le difese contro futuri attacchi;

  • Uso di password complesse e gestione sicura dei file: gli archivi zip protetti da password, come quelli menzionati nell’attacco di phishing descritto, possono essere utilizzati per nascondere malware. È consigliabile non aprire questo tipo di file a meno che non siano stati esplicitamente richiesti da una fonte sicura;

  • Backup regolari: è essenziale eseguire backup regolari dei dati critici e conservare copie offline o in ambienti sicuri. In caso di infezione da malware o trojan, i backup permettono di ripristinare i dati senza pagare riscatti o subire perdite significative.

Condividi