Para peneliti keamanan siber kini memperingatkan keberadaan alat canggih baru bernama GoIssue yang dapat digunakan untuk mengirim pesan phishing dalam skala besar, khususnya menargetkan pengguna GitHub.
Program ini pertama kali dipasarkan oleh aktor ancaman bernama cyberdluffy (alias Cyber D’ Luffy) di forum Runion pada Agustus lalu, dan dipromosikan sebagai alat yang memungkinkan pelaku kejahatan untuk mengekstrak alamat email dari profil publik GitHub dan mengirim email massal langsung ke kotak masuk pengguna.
“Apakah Anda ingin menjangkau audiens tertentu atau memperluas jangkauan Anda, GoIssue menawarkan presisi dan kekuatan yang Anda butuhkan,” klaim pelaku ancaman dalam postingannya. “GoIssue dapat mengirim email massal ke pengguna GitHub, langsung ke kotak masuk mereka, menargetkan siapa pun.”
SlashNext menyebutkan bahwa alat ini menandai “pergeseran berbahaya dalam phishing yang ditargetkan” yang berpotensi menjadi pintu masuk untuk pencurian kode sumber, serangan rantai pasokan, dan pelanggaran jaringan perusahaan melalui kredensial pengembang yang terkompromi.
“Dilengkapi dengan informasi ini, para penyerang dapat meluncurkan kampanye email massal yang disesuaikan untuk melewati filter spam dan menargetkan komunitas pengembang tertentu,” kata perusahaan tersebut.
Versi khusus dari GoIssue tersedia seharga $700. Alternatifnya, pembeli dapat memperoleh akses penuh ke kode sumbernya dengan harga $3,000. Per tanggal 11 Oktober 2024, harga tersebut diturunkan menjadi $150 dan $1,000 untuk versi khusus dan kode sumber penuh bagi “5 pelanggan pertama.”
Dalam skenario serangan hipotetis, aktor ancaman dapat menggunakan metode ini untuk mengarahkan korban ke halaman palsu yang bertujuan menangkap kredensial login mereka, mengunduh malware, atau mengotorisasi aplikasi OAuth jahat yang meminta akses ke repositori pribadi dan data mereka.
Aspek lain yang perlu dicatat dari cyberdluffy adalah profil Telegram-nya, di mana ia mengklaim sebagai “anggota Tim Gitloker.” Gitloker sebelumnya dikaitkan dengan kampanye pemerasan yang menargetkan pengguna GitHub melalui trik yang melibatkan tautan jebakan dengan menyamar sebagai tim keamanan dan rekrutmen GitHub.
Tautan ini dikirim dalam pesan email yang dipicu otomatis oleh GitHub setelah akun pengembang ditandai dalam komentar spam pada isu terbuka atau pull request menggunakan akun yang sudah terkompromi. Halaman palsu ini menginstruksikan mereka untuk masuk ke akun GitHub mereka dan mengotorisasi aplikasi OAuth baru untuk melamar pekerjaan baru.
Jika pengembang yang kurang perhatian memberikan semua izin yang diminta ke aplikasi OAuth jahat tersebut, aktor ancaman akan menghapus semua konten repositori dan menggantinya dengan catatan tebusan yang meminta korban untuk menghubungi persona bernama Gitloker di Telegram.
“Kemampuan GoIssue untuk mengirim email target ini dalam skala besar memungkinkan penyerang memperluas kampanye mereka, berdampak pada ribuan pengembang sekaligus,” kata SlashNext. “Ini meningkatkan risiko pelanggaran yang berhasil, pencurian data, dan proyek yang terkompromi.”
Perkembangan ini muncul saat Perception Point menguraikan serangan phishing dua langkah baru yang menggunakan file Microsoft Visio (.vdsx) dan SharePoint untuk mencuri kredensial. Pesan email ini menyamar sebagai proposal bisnis dan dikirim dari akun email yang telah diretas sebelumnya untuk melewati pemeriksaan autentikasi.
“Klik URL yang disediakan dalam badan email atau di dalam file .eml terlampir akan mengarahkan korban ke halaman Microsoft SharePoint yang menampung file Visio (.vsdx),” kata perusahaan tersebut. “Akun SharePoint yang digunakan untuk mengunggah dan menampung file .vdsx ini sering kali juga terkompromi.”
Di dalam file Visio terdapat tautan yang dapat diklik yang pada akhirnya membawa korban ke halaman login Microsoft 365 palsu dengan tujuan utama untuk mengumpulkan kredensial mereka.
“Serangan phishing dua langkah yang memanfaatkan platform dan format file terpercaya seperti SharePoint dan Visio semakin umum,” tambah Perception Point. “Taktik penghindaran multi-lapisan ini memanfaatkan kepercayaan pengguna pada alat yang dikenal sambil menghindari deteksi oleh platform keamanan email standar.”
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
New Phishing Tool GoIssue Targets GitHub Developers in Bulk Email Campaigns, The Hacker News.
Baca Juga : Strategi Bertahan dari Serangan Peretas dengan Perkuat Password
