Аналитический центр AhnLab SEcurity (ASEC) обнаружил распространение фишинговых файлов, которые точно копируют экраны входа на корейские порталы. В прошлом фишинг-файлы часто подражали сайтам нескольких корейских порталов, логистических и транспортных брендов, а также страницам входа в веб-почту.
Фишинговые страницы очень похожи на обычные. Злоумышленники используют реальный код обычного сайта для изменения адреса и метода отправки идентификатора и пароля, чтобы получить информацию, введенную пользователями. Фишинговые страницы могут заполнять поле ввода идентификатора, чтобы пользователи непреднамеренно ввели пароль.
Угрожающий агент также использовал NoCodeForm для утечки учетных данных. NoCodeForm используется для передачи результатов через электронную почту или Slack. Злоумышленник изменил обработчик события веб-источника сайта и использовал NoCodeForm form-id как адрес для передачи учетных данных.
Indicators of Compromise
URLs
- https://nocodeform.io/f/6605717e7bf0d35064f45348
- https://nocodeform.io/f/6612aaccf9a3a01ba8f6d979