10 апреля 2024 появилась фишинговая кампания, направленная на кражу учетных данных для доступа к ящикам сертифицированной электронной почты (PEC). Мошенники отправляют пользователям ящиков PEC поддельные электронные письма, предупреждающие о запросе на деактивацию учетной записи и предлагают перейти по ссылке, чтобы исправить ошибку.
При переходе по ссылке пользователи попадают на мошенническую страницу, созданную с помощью сервиса "Renderforest Website Builder". Здесь им предлагается выбрать одного из двух сертифицированных поставщиков услуг электронной почты. На следующей странице пользователю снова предлагается выбрать поставщика услуг, но уже с другим графическим оформлением, и просится ввести свои учетные данные. Анализ исходного кода вредоносной страницы показывает, что введенные данные отправляются мошенникам через бота Telegram. Очевидно, что учетные данные не будут использоваться для легитимного доступа, а будут использоваться организаторами мошенничества.
Indicators of Compromise
URLs
- https://24120963-1169492.renderforestsites.com/
- https://alluring-confused-caraway.glitch.me/trshxgt.html
- https://api.telegram.org/bot6741707974:AAHGfsh1hk8WVtAfcISXgpZCTL-bpHNvQ_E/