Киберпреступники активно продвигают в Telegram новый фишинговый набор под названием «V3B», предназначенный для мобильных и настольных платформ и ориентированный на клиентов 54 крупных финансовых учреждений по всей Европе. Один из участников угроз, скрывающийся под псевдонимом «Vssrtje», начал свою деятельность в марте 2023 года. Стоимость фишингового набора V3B составляет от 130 до 450 долларов в месяц, он предлагает расширенную обфускацию, опции локализации, поддержку одноразовых паролей (OTP)/TAN/2FA, живое общение с жертвами и различные механизмы уклонения.
Исследователи Resecurity, обнаружившие V3B, отмечают, что его Telegram-канал насчитывает более 1 250 участников, что говорит о быстром распространении в киберпреступном сообществе. Набор использует сильно обфусцированный JavaScript-код на пользовательской CMS, чтобы избежать обнаружения антифишинговыми ботами и поисковыми системами. Он включает профессионально переведенные страницы на несколько языков, чтобы облегчить проведение фишинговых кампаний в разных странах. V3B может перехватывать данные банковских счетов и кредитных карт. Украденная информация передается злоумышленникам через Telegram API. Среди особенностей можно отметить взаимодействие с жертвами в режиме реального времени через чат, что позволяет мошенникам получать OTP через пользовательские уведомления. Среди дополнительных возможностей - взлом логина по QR-коду и поддержка PhotoTAN и Smart ID, позволяющая обходить передовые технологии аутентификации, используемые немецкими и швейцарскими банками. По словам исследователей Resecurity, автор набора регулярно выпускает обновления и новые функции для дальнейшего обхода обнаружения.
Фишинговые наборы, подобные V3B, позволяют низкоквалифицированным участникам угроз проводить разрушительные атаки на ничего не подозревающих клиентов банков. Недавно правоохранительные органы пресекли деятельность LabHost, одной из крупнейших фишинговых операций, нацеленных на банки США и Канады, в результате чего были арестованы 37 человек, включая первоначального разработчика.
Indicators of Compromise
Domains
- abn-amro-gobal.com
- accounxt.bitvaqvio.nl-csdki.com
- belastingdienst-schuld.nl
- belastingoverzicht.info
- bezoeknummer48912543221.info
- black-loans7.shop
- bltvavo-bevestig.nt8zd3.ru
- bunq-app-nl.net
- ics-cards.org
- icscards-nl.com
- icscardsvoorschriften.nl
- kundenaktualisierungen.cc
- mijni-cs.bezoeknummer0734859938.info
- nl-appverifi.com
- nl-bunq-bijwerkerking.com
- reaktivieren-icscard.nl
- verifieer-gegevens.com
URLs
- abnamro.nl-appverifi.com/3/jjfosp/o34432fpo/index4.php
- app-lnloggen.online/authenticatie/inloggen/nl
- bunq-app-nl.net/K8IjL9/1M3k/lgn
- bvstigveriapp.online/pay/664130fb17583
- gemiste-aanmaning.com/belasting
- https://mijni-cs.bezoeknummer0734859938.info/sca/7a970cab144c3e89685550829fe62941/login
- ics-beveiligde-verificatie.com/sqi.php
- kontoaktualisierer-nl.com/icscard.nl-v1
- lcs-valideren.online/ics/sca-app/663e0152c96c0
- lnloggen-app.online/
- reaktivieren-icsservice.nl/icscard.nl-v1/
- reaktivieren-icsservice.nl/icscard.nl-v1/ics-log.php
- redirect-bunq-client.ru/account/321/
- valideren-mijn-ics-web1.online/sq0.php?session=664483b236193
- verifieer-nu.com/verificatie/66422f472f10c
MD5
- 00a1b728410ef6fee05fff9bde46e541
- 20e77ddc3fe017e1bd711317adc86494
- 3151764ce732dae8b863e15042ec2ac3
- 9589194ff77c2edb9a2e89765f570c5e