Một chiến dịch tấn công mạng tinh vi mang tên “GitBait” nhắm vào lĩnh vực tài chính của Mexico với độ chính xác cao trong các hoạt động đánh cắp thông tin đăng nhập đã được ghi nhận. Chiến dịch này lạm dụng GitHub Pages, một dịch vụ lưu trữ miễn phí đáng tin cậy, để phân phát các cổng ngân hàng giả mạo trông giống hệt các trang web thật.
Chiến dịch GitBait: Lạm dụng GitHub Pages
Các nạn nhân truy cập vào các trang web giả mạo này sẽ bị lừa cung cấp thông tin đăng nhập, chi tiết thẻ thanh toán và các thông tin nhạy cảm khác mà không hề hay biết. Điều đáng báo động là chiến dịch GitBait đã hoạt động trong hơn ba năm, âm thầm phát triển và mở rộng danh sách mục tiêu.
Mục tiêu và Quy mô
Chiến dịch đã nhắm mục tiêu vào ít nhất 24 tổ chức tài chính tại Mexico, bao gồm cả ngân hàng trong nước và các tổ chức nước ngoài có hoạt động tại quốc gia này. Hơn 200 tên miền đã được liên kết với chiến dịch này, mỗi tên miền chứa nhiều trang lừa đảo dưới các đường dẫn thư mục như “cancelacion,” “soporte,” và “mbw,” mô phỏng các danh mục dịch vụ ngân hàng hợp pháp.
Những đường dẫn này cũng giúp chiến dịch trốn tránh các hệ thống phát hiện tự động dựa trên danh sách tên miền độc hại đã biết. Các trang lừa đảo được tối ưu hóa cho cả màn hình máy tính và thiết bị di động, phản ánh nỗ lực có chủ đích nhằm tối đa hóa tương tác của nạn nhân trên mọi thiết bị.
Kiến trúc và Cơ chế Hoạt động
Chiến dịch GitBait hoạt động mà không cần máy chủ chỉ huy và kiểm soát (C2) truyền thống. Các nhà phân tích tại Group-IB đã xác định chiến dịch này được xây dựng trên kiến trúc hoàn toàn serverless. Dữ liệu bị đánh cắp được định tuyến thông qua SheetBest, một dịch vụ API của bên thứ ba, trực tiếp vào các Google Sheets do kẻ tấn công kiểm soát theo thời gian thực.
Lạm dụng GitHub Pages
Cốt lõi của chiến dịch GitBait nằm ở cách nó khai thác GitHub Pages để lưu trữ nội dung lừa đảo. GitHub Pages mang lại danh tiếng đáng tin cậy và đi kèm với dịch vụ HTTPS mặc định, nghĩa là hầu hết các công cụ bảo mật tự động không gắn cờ nó là đáng ngờ. Kẻ tấn công lợi dụng sự tin cậy này để triển khai các trang lừa đảo vượt qua các kiểm tra danh sách chặn tiêu chuẩn, tiếp cận trực tiếp mục tiêu.
Mỗi kho lưu trữ chứa nội dung lừa đảo trùng lặp dưới các đường dẫn thư mục khác nhau, gây khó khăn cho việc gỡ bỏ vì việc xóa một đường dẫn không loại bỏ các đường dẫn khác. Trong ít nhất một trường hợp được quan sát, một phương pháp thay thế cũng đã được sử dụng: gửi dữ liệu nạn nhân theo thời gian thực đến một bot Telegram với các token và ID trò chuyện được mã hóa cứng nhúng trong JavaScript của trang.
Công cụ và Kỹ thuật
Bộ công cụ lừa đảo bao gồm một bộ chọn chiến dịch nội bộ mà kẻ tấn công sử dụng để chọn ngân hàng muốn mạo danh và tạo một URL gian lận tương ứng. Các trang đích mạo danh tái tạo nhận diện trực quan, bố cục và điều hướng của các cổng ngân hàng hợp pháp, xây dựng một cảm giác tin cậy sai lầm trước khi nạn nhân được chuyển hướng đến các biểu mẫu thu thập thông tin đăng nhập.
Các biểu mẫu này thu thập tên người dùng, mật khẩu, ID khách hàng và chi tiết thẻ thanh toán thông qua một quy trình nhiều giai đoạn được thiết kế để mô phỏng một phiên ngân hàng trực tuyến thực tế. Sau khi nạn nhân gửi thông tin, một JavaScript phía máy khách sẽ chặn việc gửi biểu mẫu trước khi trình duyệt xử lý nó.
Thu thập Dữ liệu và Tránh Phát hiện
Dữ liệu bị đánh cắp được tuần tự hóa thành JSON và gửi qua yêu cầu POST đến API SheetBest, định tuyến trực tiếp vào một Google Sheet do kẻ tấn công kiểm soát. Mô hình serverless này loại bỏ nhu cầu về cơ sở hạ tầng backend chuyên dụng, giảm chi phí vận hành và làm cho việc truy tìm nguồn gốc trở nên khó khăn hơn.
Lịch sử commit trên nhiều kho lưu trữ GitHub xác nhận việc bảo trì liên tục bởi một nhóm người vận hành có vẻ như được cộng tác và quản lý tích cực. Các trang phishing được tối ưu hóa cho cả màn hình desktop và di động, phản ánh nỗ lực có chủ đích nhằm tối đa hóa sự tương tác của nạn nhân trên tất cả các thiết bị.
Phòng chống và Khuyến nghị
Group-IB đã báo cáo tất cả các trang và tên miền lừa đảo được xác định cho GitHub. Các tổ chức tài chính được khuyến khích chủ động giám sát các kho lưu trữ GitHub Pages mạo danh thương hiệu của họ bằng các mẫu đặt tên như “brand-soporte” hoặc “brand-cancelacion”.
Các tổ chức cũng nên theo dõi các yêu cầu POST đi bất thường đến api.sheetbest.com từ các phiên web hướng tới người dùng. Việc triển khai phát hiện hành vi và cảnh báo giao dịch theo thời gian thực có thể bảo vệ khách hàng ngay cả khi thông tin đăng nhập đã bị xâm phạm.
Việc chia sẻ threat intelligence với các đối tác và cơ quan quản lý được khuyến khích mạnh mẽ để đẩy nhanh phản ứng phối hợp trên toàn ngành tài chính. Nền tảng kiến trúc serverless giúp giảm thiểu chi phí hoạt động và làm cho việc truy tìm nguồn gốc trở nên khó khăn hơn đáng kể.
Các Chỉ số Liên quan đến Xâm nhập (IoCs)
Các chỉ số sau đây có thể hỗ trợ trong việc phát hiện và ngăn chặn chiến dịch GitBait:
- Tên miền/IP liên quan đến Lừa đảo: Các tên miền và địa chỉ IP được sử dụng để lưu trữ các trang lừa đảo và/hoặc làm điểm đến cho dữ liệu bị đánh cắp.
- Tên miền/URL giả mạo: Các URL cụ thể được tạo ra để mạo danh các dịch vụ ngân hàng, thường chứa các từ khóa như “soporte” (hỗ trợ) hoặc “cancelacion” (hủy bỏ).
- Tài khoản GitHub độc hại: Các kho lưu trữ trên GitHub được sử dụng để lưu trữ nội dung lừa đảo.
- Điểm cuối API SheetBest: Hoạt động mạng hướng tới
api.sheetbest.com. - Bot Telegram: Thông tin liên quan đến các bot Telegram được sử dụng để nhận dữ liệu nạn nhân (nếu có thể xác định được).
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: `[.]`) để tránh phân giải hoặc liên kết ngoài ý muốn. Chỉ làm mờ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Việc hiểu rõ các kỹ thuật mà GitBait sử dụng, đặc biệt là việc lạm dụng các dịch vụ đáng tin cậy như GitHub Pages và kiến trúc serverless, là chìa khóa để tăng cường khả năng phòng thủ chống lại các mối đe dọa mạng tương tự trong tương lai. Bằng cách áp dụng các biện pháp phòng ngừa chủ động và chia sẻ thông tin tình báo về mối đe dọa, các tổ chức có thể nâng cao khả năng chống chịu của mình.
