Группа анализа ASEC недавно обнаружила поддельную страницу входа в систему Kakao, пытающуюся получить доступ к учетным данным конкретных лиц. Конкретный маршрут, по которому пользователи впервые попадают на эти страницы, неизвестен, но предполагается, что пользователи были вынуждены войти в систему через веб-страницу, ссылка на которую была предоставлена в фишинговых письмах.
Когда пользователь попадает на веб-страницу, происходит автозаполнение идентификатора учетной записи Kakao. Он создан идентично оригинальному формату страницы входа в Kakao, где пользователи могут войти в систему, просто введя свой идентификатор электронной почты, если у них есть адрес электронной почты Kakao.
На основании постоянного мониторинга деятельности, связанной с Северной Кореей, проводимого аналитической группой ASEC, мы можем рассмотреть возможность того, что затронутые идентификаторы использовались в аккаунтах 'kakao.com' или 'hanmail.net' благодаря характеристикам их оригинальных форматов. Таким образом, можно предположить, что объектом атаки были лица и организации, связанные с торговлей, СМИ, Северной Кореей и имеющие отношение к автозаполненным идентификаторам.
Ниже приведена информация о некоторых автозаполненных учетных записях на экране входа в систему.
a***d: Профессор университета
ya***2: репортер радиовещательной станции
sh***her: Северокорейская группа поддержки бизнеса
Поскольку URL-адрес страницы входа в систему также начинается с accountskakao, пользователи, попавшие на эту веб-страницу, склонны вводить свой пароль без раздумий.
(Оригинальный): https://accounts.kakao.com
(Вредоносный): hxxp://accountskakao.pnbbio[.]com, hxxp://accountskakao.koreawus[.]com
В частности, некоторые URL-адреса выявленных страниц входа в систему показали, что через определенный период времени они побуждают войти в систему после изменения идентификатора пользователя. Учитывая возможность использования того же идентификатора, что и идентификатор hanmail.net, изменение идентификатора пользователя, по-видимому, осуществляется с целью получения учетных данных медиакомпаний и репортеров. Когда пользователь пытается войти в систему, метод GET пересылает идентификатор и пароль на сервер, созданный субъектом угрозы, как показано ниже.
Поскольку была выявлена такая тщательно разработанная страница входа в систему, предназначенная для обмана пользователей, пользователи должны быть особенно осторожны при открытии электронных писем от ненадежных отправителей. Кроме того, если в процессе веб-серфинга необходимо выполнить вход в систему, включающий синхронизацию с другим приложением, пользователям рекомендуется определить, является ли URL-адрес открываемой страницы оригинальным доменом, проверив корректный адрес URL-адреса и сертификат, прежде чем продолжить работу.
Indicators of Compromise
URLs
- http://accountskakao.pnbbio.com
- http://accountskakao.koreawus.com