Uma nova campanha de malware está sendo utilizada para atacar os setores de seguros e finanças, aproveitando links do GitHub em e-mails de phishing para burlar medidas de segurança e entregar o malware Remcos RAT. Esse método de usar links de repositórios confiáveis do GitHub está ganhando popularidade entre os cibercriminosos. Os pesquisadores observaram que os invasores estão utilizando repositórios legítimos, como softwares de contabilidade de código aberto, para disseminar o malware, em vez de criarem repositórios maliciosos próprios.

Essa abordagem de usar repositórios confiáveis é uma novidade em comparação às técnicas mais comuns, e permite aos atacantes enviar arquivos perigosos sem levantar suspeitas, já que os links do GitHub são geralmente considerados confiáveis. Um dos métodos usados pelos hackers envolve abrir um “issue” (um tipo de comentário ou relatório) em um repositório conhecido, fazer o upload de um arquivo malicioso, e depois fechar o “issue” sem salvar. Mesmo que o “issue” não seja salvo, o malware permanece acessível por meio de um link, criando uma vulnerabilidade que os invasores exploram para espalhar o software malicioso.

Além disso, os hackers têm usado outras táticas para enganar suas vítimas, como códigos QR baseados em ASCII e Unicode, além de URLs do tipo “blob”, que dificultam a detecção de conteúdo malicioso. Esses URLs são usados pelos navegadores para manipular dados binários, como imagens e vídeos, diretamente no navegador, sem necessidade de acessar um servidor externo. Isso oferece mais uma maneira de os cibercriminosos esconderem suas intenções.