WikiKit Phishing Kit IOCs

phishing IOC

Исследователи из TRAC Labs недавно обнаружили фишинговый набор под названием «WikiKit», который получил свое название за перенаправление на страницы Википедии, когда JavaScript отключен или фишинговая ссылка недействительна.

WikiKit AiTM Phishing Kit

Кампании WikiKit, запущенные в октябре 2024 года, были замечены в различных отраслях, включая автомобилестроение, производство и здравоохранение. Фишинговый набор использует целевые страницы, размещенные на Jimdosite, которые имитируют корпоративный бренд и предлагают пользователям нажать на ссылку «Review Document Here», перенаправляя их на страницы сбора учетных данных.

Злоумышленники используют взломанные учетные записи корпоративной электронной почты для распространения фишинговых ссылок, иногда маскируя их под легитимные перенаправления Salesforce, чтобы повысить доверие пользователей. Жертвы, перешедшие по этим фишинговым ссылкам, сталкиваются с проверкой CAPTCHA перед вводом учетных данных, которые затем проверяются и отправляются на серверы злоумышленников. Фишинговый набор динамически подстраивает страницы под логотип и фон компании жертвы, повышая их легитимность.

WikiKit использует передовые технологии, чтобы избежать обнаружения, в том числе защищенный от взлома код JavaScript, который пресекает попытки отладки и скрывает методы аутентификации, не используемые по умолчанию. Злоумышленники используют украденные учетные данные для обхода многофакторной аутентификации и перенаправляют жертв на страницы ошибок Microsoft 365 или Outlook, которые кажутся легитимными. По состоянию на декабрь 2024 года кампания продолжает работать с неизменной инфраструктурой и тактикой уклонения.

Indicators of Compromise

URLs

  • http://046.free.hr/recognice/auth
  • http://aweitapp.com/zeng/advance/auth
  • http://casasol-1.jimdosite.com
  • http://florenceorganics.us/bdbd
  • http://kagumigroup.id/wp-content/plugins/well/auth
  • http://leanstartupatelier.co/gridview
  • http://mysilverfox.com.my/00
  • http://printserve.co.ke/projectsft/auth
  • http://www.northernaid.org/auth
  • http://www.redeemerlutheran.us/church/faith/sermons/?show=&url=//casasol-1.jimdosite.com
  • https://alliedhealthcaresolution.com
  • https://artium-construction-limited.jimdosite.com
  • https://authorization-required-quaterdeposit-verify-confirmation.scandataactivities.es
  • https://auxin.co.in/auth
  • https://baptihealth.com
  • https://bardach-awards-inc.jimdosite.com
  • https://carpetcleaningmanitoba.ca/r/emote/auth
  • https://cchosting.co.za/001
  • https://cds-logistics.jimdosite.com
  • https://construction-sealants-ltd.jimdosite.com
  • https://coysem.com/con
  • https://desirenetwork.in/auth
  • https://docsafybeifur2mabbggrihscauthenticnotes.online/secured
  • https://erhakalip.com/leo/auth
  • https://eto1908.org/amend
  • https://files42.com/auth
  • https://funnelflex.co/cgi
  • https://globalservicesqtr.com/destinyascuak/project/auth
  • https://historischeverenigingmarum.online
  • https://hogan-chevrolet-buick-gmc-limited.jimdosite.com
  • https://hsrcxeeae.mypi.co/OT
  • https://iziloyer.com/auth
  • https://loginoffice365commonauth00000365user6867620079.empreendendocomgrafica.com
  • https://lovencareurology.in/auth
  • https://metalloid-corporation.jimdosite.com
  • https://mine-supply-company.jimdosite.com
  • https://mscserv.com/secured/message
  • https://nashnights.com/optimumref
  • https://o7t5dgbx-staging.dreamwp.com/wp-admin/csss/auth0
  • https://oempcworlds.org
  • https://pike-lake-golf-centre-ltd.jimdosite.com
  • https://pipaltree.ngo/wp-includes/wi/authy/auth
  • https://profitminers.in/auth
  • https://scandataactivities.es
  • https://seko-spa.jimdosite.com
  • https://senangwasap.com/wp-content/auth/auth
  • https://setech-supply-chain-solutions-llc-1.jimdosite.com
  • https://sukrajclasses.com/auth/unlock
  • https://thewoodlandretreat.in/auth
  • https://unalkardesler.net/ms
  • https://wwgle.com/auth
  • https://www.fabribat.com/htaccess/rdrauth
  • https://yaharaho.com/web
  • https://yugaljeeautomotive.com/z/pro/mentanance/auth
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий