Forcepoint предупреждает об изощренном методе фишинговой атаки с использованием писем, маскирующихся под страницы входа в систему просмотра PDF-файлов. Эти обманчивые письма направлены на различные правительственные ведомства в Азиатско-Тихоокеанском регионе и предназначены для сбора учетных данных пользователей.
Обнаруженные фишинговые письма исходят от отправителя hachemi52d31[at]live[.]fr и направлены на сбор учетных данных пользователей. Эти фишинговые попытки включают в себя несколько этапов, в том числе проверку электронной почты и перенаправление жертв на страницы с поддельными счетами после кражи их учетных данных. Когда пользователи открывают HTML-файл, прикрепленный к фишинговому письму, перед ними открывается фальшивая страница входа в систему с просьбой подтвердить свой пароль. HTML-файлы, прикрепленные в письмах, содержат обфусцированный JavaScript, скрывающий их вредоносный замысел.
Indicators of Compromise
URLs
- http://s810733.ha007.t.mydomain.zone/msn-ai.php
- http://s810733.ha007.t.mydomain.zone/xille/msn-ai.php
- https://b1498432.smushcdn.com/1498432/wp-content/uploads/Credit-Card-Payment-Invoice-768×993.png?lossy=1&strip=1&webp=1
- https://b1498432.smushcdn.com/1498432/wp-content/uploads/Credit-Card-Payment-Invoice-768x993.png?lossy=1&strip=1&webp=1
Emails
- hachemi52d31@live.fr
SHA1
- 3fcae869e82602a8e809c6eb89856f81148df474