Gli attacchi di phishing continuano ad evolversi, sfruttando nuove tecniche per ingannare le vittime e bypassare le misure di sicurezza. Uno degli sviluppi più recenti vede l'uso di GitHub, bot di Telegram e codici QR ASCII come strumenti per diffondere malware. In particolare, una campagna di phishing a tema fiscale, mirata ai settori delle assicurazioni e della finanza, sfrutta i link di GitHub nei messaggi email per evitare i controlli di sicurezza e distribuire il Remcos RAT. Questo metodo sta guadagnando popolarità tra i gruppi di cybercriminali, che utilizzano repository affidabili come quelli di software open-source per mascherare le loro intenzioni malevole.

La catena di attacco

La catena di attacco prevede l'abuso dell'infrastruttura di GitHub per ospitare i payload dannosi. Una tecnica specifica, rivelata per la prima volta da OALABS Research nel marzo 2024, consiste nel creare un problema su un repository noto e caricarvi un payload dannoso, per poi chiudere il problema senza salvarlo. In questo modo, il malware caricato persiste, nonostante il problema non venga salvato, permettendo agli attaccanti di caricare qualsiasi file senza lasciare tracce evidenti, se non il link al file stesso.

I phisher impiegano un metodo simile utilizzando i commenti di GitHub per allegare file dannosi, che poi eliminano. Tuttavia, il link rimane attivo e viene distribuito tramite email di phishing. I link GitHub risultano efficaci nel superare le misure di sicurezza perché GitHub è generalmente considerato un dominio sicuro. Questa tecnica permette agli attaccanti di collegare direttamente l'archivio malware nell'email senza dover utilizzare reindirizzamenti o altre tecniche per oltrepassare i controlli di sicurezza.

Metodi innovativi

Parallelamente, Barracuda Networks ha rivelato metodi innovativi adottati dai phisher che includono l'uso di codici QR basati su ASCII e Unicode e URL blob per rendere più difficile il blocco dei contenuti dannosi. Gli URL blob, utilizzati dai browser per rappresentare dati binari, permettono ai web developer di lavorare con dati binari direttamente nel browser senza bisogno di un server esterno.

Attacchi su piattaforme di prenotazione

Inoltre, la ricerca di ESET ha evidenziato come i criminali dietro il toolkit Telekopye di Telegram abbiano espanso il loro raggio d'azione oltre le truffe nei marketplace online, prendendo di mira piattaforme di prenotazione come Booking.com e Airbnb. Gli attacchi prevedono l'uso di account compromessi di fornitori di alloggi per contattare le vittime e indurle a cliccare su link falsi e inserire informazioni finanziarie.

Nonostante questi sforzi, le operazioni di Telekopye hanno incontrato ostacoli, con arresti effettuati dalle forze dell'ordine in paesi come la Repubblica Ceca e l'Ucraina. Questi sviluppi sottolineano la continua evoluzione delle tecniche di phishing e la necessità di rimanere vigili e informati sulle minacce emergenti.