یک کمپین بدافزار جدید با مضمون مالیاتی مشاهده شده است که بخشهای بیمه و مالی را هدف قرار میدهد و از لینکهای GitHub در پیامهای ایمیل فیشینگ به عنوان روشی برای دور زدن اقدامات امنیتی و ارائه Remcos RAT استفاده میکند.
محقق Cofense گفت: در این کمپین، از مخازن قانونی مانند نرمافزار منبع باز بایگانی مالیات، UsTaxes، HMRC و InlandRevenue به جای مخازن ناشناخته استفاده شد. استفاده از مخازن قابل اعتماد برای ارائه بدافزار در مقایسه با عوامل تهدیدی که مخازن مخرب GitHub خود را ایجاد میکنند، نسبتاً جدید است. این لینکهای مخرب GitHub را میتوان با هر مخزنی که امکان کامنت را میدهد، مرتبط کرد. مرکز اصلی زنجیره حمله، سوء استفاده از زیرساخت GitHub برای مرحلهبندی payloadهای مخرب است.
یکی از تکنیکهای این کمپین شامل عوامل تهدیدی است که یک باگ GitHub را در مخازن معروف باز میکنند و payload مخربی را در آن آپلود میکنند و سپس بدون ذخیرهسازی آن را میبندند. با انجام این کار، مشخص شد که بدافزار آپلود شده با وجود عدم ذخیرهسازی، همچنان ادامه دارد، بدین ترتیب مهاجمان اجازه دارند هر فایلی را آپلود کنند و هیچ ردی به جز لینک خود فایل از خود باقی نگذارند. این رویکرد جهت فریب کاربران برای دانلود یک لودر بدافزار مبتنی بر Lua که قادر است بر روی سیستمهای آلوده پایدار بماند و payloadهای اضافی را تحویل دهد، استفاده شده است.
https://thehackernews.com/2024/10/github-telegram-bots-and-qr-codes.html
