29/04/19
Исследователи Proofpoint отмечают, что злоумышленники часто пользуются облачными сервисами, социальными сетями и другими ресурсами для маскировки своей вредоносной активности и обмана защитных механизмов. От подобных злоупотреблений не раз страдали Dropbox, Google Drive, Paypal, Ebay, Facebook и многие другие.
Теперь очередь дошла и до GitHub: как минимум с 2017 года мошенники размещают на $github_username.github.io вредоносные страницы, предназначенные для кражи учетных данных пользователей. Такие лендинги, как правило, используют минимальную обфускацию для HTML-кода и имитируют легитимные сайты банков и финансовых организаций. Ссылки на такие страницы атакующие распространяют в спамерских письмах. Эти послания тоже замаскированы под сообщения от банков и эксплуатируют их официальные цвета и логотипы.
Если пользователь попадается на удочку мошенников и вводит на поддельной странице github.io свои учетные данные, те при помощи запроса HTTP POST переправляются на другой сайт, подконтрольный атакующим.
Дело в том, что github.io не имеет на бэкэнде PHP-сервисов, поэтому злоумышленникам приходится либо отказываться от PHP-скриптов вовсе, либо использовать скрипты, размещенные на удаленных доменах. Очевидно, именно из-за этих «неудобств» некоторые мошенники используют GitHub Pages исключительно для перенаправления трафика, и такие вредоносные страницы «живут» немного дольше других.
В Proofpoint сообщают, что 19 апреля специалисты GitHub уже избавились от вредоносных страниц на github.io, но исследователи все равно просят помнить о том, что ссылки на GitHub Pages могут быть небезопасны.
