Центр защиты от фишинга Cofense (PDC) обнаружил фишинговую кампанию под видом платежного перевода, использующую пользовательские URL-адреса компании Atlassian для перенаправления пользователей на страницу Google translate, которая загружает их веб-сайт.
В электронных письмах, разосланных угрожающим субъектом, использовались темы, подразумевающие, что происходит платеж. В заголовке письма также использовалось слово "SharePoint", чтобы придать сообщению уверенности, а тело письма выглядело более легитимным. В письме нажатие на кнопку "Обзор документа" перенаправляет жертву на вредоносный URL-адрес, размещенный на странице Atlassian. На целевой странице Atlassian при наведении курсора на кнопку "Preview Document Here" появляются размытые изображения документов. Нажатие на эту кнопку направляет жертву на последнюю страницу фишинга, которая представляет собой URL-адрес, использующий сайт Google translate в качестве прокси для загрузки страницы. Жертве предлагается подтвердить свою личность, введя учетные данные Microsoft.
Indicators of Compromise
URLs
- https://csb-p44y4q-netlify-app.translate.goog/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
- https://prism-thin-fear-glitch-me.translate.goog/remittanceex.html
- https://remittancepaymentnotification.atlassian.net/l/cp/mTeibV2o