Киберпреступники используют GitHub для размещения фишинговых ресурсов

Киберпреступники используют GitHub для размещения фишинговых ресурсов

С середины 2017 года злоумышленники использовали GitHub для размещения фишинговых веб-сайтов. Об этом говорит отчет, предоставленный компанией Proofpoint, занимающейся защитой от утечек данных.

По словам исследователей, фишеры располагали свои сайты в каноничном домене $github_username.github.io, при этом используя графику какого-нибудь известного бренда, чтобы ввести пользователей в заблуждение.

HTML-код был незначительно обфусцирован, чтобы скрыть истинное его назначение. В действительности же он отправлял учетные данные в запросе HTTP POST на другой сайт.

«Отправка украденных учетных данных на другой скомпрометированный сайт — отличительная черта всех фишинговых ресурсов, обнаруженных нами в github.io», — пишут эксперты Proofpoint.

«Более того, похоже на то, что фишеры не использовали традиционные PHP-методы, так как платформа github.io не предоставляет такой возможности».

В некоторых случаях домен github.io использовался для перенаправления трафика, это делалось для того, чтобы продлить жизнь фишинговой страницы.

Специалисты Proofpoint вычислили имя пользователя, который модифицировал файлы в затронутых репозиториях, — «greecpaid». Несмотря на то, что аккаунт этого пользователя неактивен в сервисе GitHub, ему недавно удалось обновить некоторые фишинговые ресурсы.

Все вычисленные аккаунты GitHub, занимавшиеся вредоносной деятельностью, были заблокированы 19 апреля.

В марте стало известно, что Университет штата Северная Каролина (NCSU) на протяжении шести месяцев сканировал миллиарды файлов, размещенные в публичных репозиториях GitHub. Как показали результаты, более 100 000 репозиториев «сливали» API-токены и криптографические ключи.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Let’s Encrypt через два дня отзовёт миллионы сертификатов

Популярный центр сертификации Let’s Encrypt с 28 января 2022 (эта пятница) начинает отзывать сертификаты SSL / TLS, выпущенные за последние 90 дней. Пользователей предупреждают, что эта процедура может затронуть миллионы действующих сертификатов.

Напомним, что некоммерческая организация Let's Encrypt подчиняется Internet Security Research Group (ISRG). Центр сертификации выпускает бесплатные криптографические сертификаты стандарта X.509, обеспечивающие шифрование передаваемых по сети данных.

Сторонние исследователи, изучившие репозиторий Let's Encrypt, проинформировали ISRG о двух проблемах (PDF) в имплементации метода валидации «TLS с использованием ALPN».

Чтобы исправить недостаток, Let’s Encrypt потребовалось вынести два изменения в работу проверки TLS-ALPN-01.

«Все действующие сертификаты, выпущенные с проверкой TLS-ALPN-01 до 26 января 2022 года, будут считаться некорректными. Всё дело в фиксе, который мы выпустили на этой неделе», — объяснили представители центра сертификации.

Таким образом, 28 января около 19:00 Let’s Encrypt начнёт отзывать проблемные сертификаты, которых затронула брешь метода валидации TLS-ALPN-01. По оценкам сотрудников, проблема коснулась менее 1% от всех выпущенных сертификатов.

Учитывая, что активных сертификатов на сегодняшний день насчитывается более 221 млн, один процент на деле может значить миллионы отозванных. НКО обещает уведомить по электронной почте всех, кого коснётся эта процедура.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru