Злоумышленники похищают учетные данные, взламывают аккаунты и выгружают содержимое репозиториев.
Команда реагирования на инциденты (SIRT) платформы GitHub предупредила пользователей о фишинговой кампании, в ходе которой злоумышленники похищают учетные данные через лендинговые страницы, выдаваемые ими за страницы авторизации GitHub.
В ходе кампании, получившей название Sawfish, киберпреступники не только взламывают чужие учетные записи, но сразу же выгружают все содержимое их репозиториев. «Если атакующему успешно удалось похитить учетные данные пользователя GitHub, он может быстро создать токены доступа или авторизовать приложения OAuth, для того чтобы сохранить доступ к учетной записи на случай, если пользователь изменит свой пароль», - сообщает SIRT.
Атака начинается с получения жертвой фишингового письма, авторы которого пытаются различными способами заставить ее нажать на вредоносную ссылку. В одних письмах сообщается, будто к учетной записи пользователя был получен несанкционированный доступ, а в других уведомляется о репозиториях и изменениях в настройках учетной записи.
Если жертва нажмет на представленную в письме ссылку, она попадет на поддельную страницу авторизации GitHub, отправляющую вводимые учетные данные на подконтрольные злоумышленникам серверы. В случае использования жертвой мобильного приложения TOTP поддельная лендинговая страница в режиме реального времени также собирает коды для двухфакторной аутентификации. То есть, жертвами атаки могут стать даже учетные записи, защищенные с помощью двухфакторной аутентификации на базе технологии TOTP. Тем не менее, учетные записи, защищенные с помощью аппаратных ключей, не являются уязвимыми к данной атаке.
Как сообщает SIRT, кампания все еще продолжается. Киберпреступники нацелены только на активные учетные записи, принадлежащие сотрудникам технологических компаний в разных странах мира. Электронные адреса для рассылки вредоносных писем злоумышленники получают из открытых коммитов GitHub.
Фишинговые письма рассылаются с легитимных доменов – либо с взломанных заранее почтовых серверов, либо с помощью похищенных учетных данных API провайдеров сервисов электронной почты. С целью скрыть URL-адрес поддельной страницы злоумышленники используют сервисы для сокращения ссылок.