Descoberta e escopo da campanha
Uma campanha de phishing sofisticada, batizada de "GitBait", foi identificada atacando o setor financeiro do México com um nível de precisão raro em operações de roubo de credenciais. A operação explora o GitHub Pages, um serviço de hospedagem gratuito amplamente confiável, para entregar portais bancários falsos que se assemelham quase perfeitamente aos legítimos. Analistas da Group-IB identificaram que a infraestrutura por trás do GitBait é modular, permitindo que os atores maliciosos troquem modelos de phishing e visem novas instituições sem reconstruir sua configuração do zero.
Vetor de ataque e exploração
O que torna o GitBait particularmente alarmante é o tempo de atividade da campanha. O rastreamento de infraestrutura histórica sugere que a operação está ativa há mais de três anos, evoluindo e expandindo sua lista de alvos silenciosamente. A operação visou pelo menos 24 instituições financeiras no México, incluindo bancos locais e instituições estrangeiras com presença no país. Mais de 200 domínios foram vinculados a esta campanha, cada um hospedando múltiplas páginas de phishing sob caminhos de diretório como "cancelacion", "suporte" e "mbw", que imitam categorias legítimas de serviços bancários.
Arquitetura serverless e exfiltração
A campanha é construída sobre uma arquitetura totalmente serverless, roteando credenciais roubadas através da API SheetBest, um serviço de API de terceiros, diretamente para planilhas do Google controladas pelos atacantes em tempo real. Isso elimina a necessidade de infraestrutura backend dedicada, reduzindo custos operacionais e tornando a atribuição muito mais difícil. Em pelo menos um caso observado, um método alternativo também foi usado, enviando dados da vítima em tempo real para um bot do Telegram com tokens e IDs de chat embutidos no JavaScript da página.
Medidas de mitigação recomendadas
A Group-IB relatou todas as páginas de phishing e domínios identificados ao GitHub. Instituições financeiras são instadas a monitorar proativamente repositórios do GitHub Pages que imitam sua marca usando padrões de nomenclatura como "brand-suporte" ou "brand-cancelacion". As organizações também devem rastrear solicitações POST de saída inesperadas para api.sheetbest.com de sessões web voltadas ao usuário. A implementação de detecção comportamental e alertas de transação em tempo real pode proteger os clientes mesmo se as credenciais já estiverem comprometidas.
Indicadores de Comprometimento (IoCs)
Os indicadores de comprometimento incluem domínios como soporte-index.github[.]io, api.sheetbest[.]com e contas de operador como ss-soporte e ce-soporte no GitHub. Endereços IP como 176.97.214[.]92 foram identificados como servidores remotos para submissão de credenciais da API SheetBest. Hashes SHA256 de arquivos CSS e JS do Bootstrap v5.3.0-alpha1 também foram utilizados nas páginas de phishing.
Perguntas frequentes
Como identificar se um domínio GitHub Pages está sendo usado para phishing?
Verifique se o repositório contém múltiplos caminhos de diretório duplicados com conteúdo de phishing. Monitore solicitações POST para api.sheetbest.com.
Qual é o impacto para as instituições financeiras?
A campanha visa roubo de credenciais bancárias e detalhes de cartões de pagamento, comprometendo diretamente a segurança dos dados dos clientes.