Cybersikkerhedsforskere har afsløret en ny kampagne, der viser, hvordan kryptokriminelle når et nyt niveau af sofistikation ved at udnytte GitHub.
Angriberne bruger udviklerplatformen til at lagre skadelige konfigurationer, hvilket gør det muligt for dem at genopbygge deres kontrolservere, efter at de er blevet lukket ned af myndighederne.
Denne nye taktik markerer et skift i, hvordan cyberkriminelle opretholder langsigtede operationer og undgår at blive forstyrret.
GitHub bliver centrum for malware
Forskere har opdaget, at trusselsaktører bruger GitHub-repositorier til at gemme aktive konfigurationer til malware.
Når deres Command-and-Control (C2)-servere bliver blokeret, henter malwaren automatisk nye konfigurationer fra GitHub og opretter forbindelse til ny infrastruktur.
Denne metode gør det muligt for angriberne at forblive aktive, selv efter at myndighederne har lukket deres oprindelige servere.
Det gør samtidig sporing og neutralisering langt vanskeligere, da GitHub er en legitim og betroet platform, der ofte er hvidlistet i virksomheders netværk.
Phishing som indgangspunkt
Kampagnen starter med overbevisende phishing-e-mails, der udgiver sig for at være DocuSign-meddelelser eller jobansøgninger.
Ofrene modtager en ZIP-fil, der indeholder skadelig kode. Når filen åbnes, installerer malwaren sig i baggrunden og begynder at indsamle følsomme oplysninger.
Forskere bemærkede, at koden indeholder avancerede anti-analysefunktioner. Hvis den registrerer et testmiljø eller en sikkerhedssandbox, lukker den straks ned for at undgå opdagelse – et tegn på høj teknisk kunnen.
Mål mod krypto- og banktjenester
Angriberne ser ud til at fokusere på både kryptovalutaplatforme og finansielle institutioner.
Stjålne loginoplysninger fra tjenester som Binance, MetaMask og flere store brasilianske banker er blevet identificeret.
Kampagnens omfang viser, hvordan traditionelle svindelmetoder nu overlapper med kryptorelateret cyberkriminalitet.
Sikkerhedsanalytikere advarer om, at denne kombination af hybridmål og GitHub-baseret modstandsdygtighed udgør en farlig udvikling i cyberkriminelles strategier.
Branchens reaktion og forsvarstiltag
GitHub har allerede fjernet skadelige repositorier, der er forbundet med kampagnen.
Men forskere advarer om, at lignende taktikker sandsynligvis vil vende tilbage, efterhånden som angribere fortsætter med at teste nye måder at misbruge betroet infrastruktur på.
Cybersikkerhedseksperter anbefaler, at virksomheder styrker deres phishing-detektion, overvåger netværkstrafik for mistænkelige GitHub-forbindelser og begrænser adgang til uautoriserede repositorier.
Konklusion
Kampagnen Crypto Criminals Reach New Level viser, hvordan cyberkriminalitet udvikler sig gennem kreativ misbrug af legitime værktøjer.
Ved at udnytte GitHubs fleksibilitet har hackerne fundet en måde at genopbygge hurtigere og forblive uopdagede i længere tid.
Denne sag beviser, at moderne cybersikkerhed ikke kun skal beskytte mod selve malwaren – men også mod den infrastruktur, der holder den i live.
0 svar til “Kryptokriminelle når nyt niveau med sofistikeret GitHub-kampagne”