Исследователи из TRAC Labs недавно обнаружили фишинговый набор под названием «WikiKit», который получил свое название за перенаправление на страницы Википедии, когда JavaScript отключен или фишинговая ссылка недействительна.
WikiKit AiTM Phishing Kit
Кампании WikiKit, запущенные в октябре 2024 года, были замечены в различных отраслях, включая автомобилестроение, производство и здравоохранение. Фишинговый набор использует целевые страницы, размещенные на Jimdosite, которые имитируют корпоративный бренд и предлагают пользователям нажать на ссылку «Review Document Here», перенаправляя их на страницы сбора учетных данных.
Злоумышленники используют взломанные учетные записи корпоративной электронной почты для распространения фишинговых ссылок, иногда маскируя их под легитимные перенаправления Salesforce, чтобы повысить доверие пользователей. Жертвы, перешедшие по этим фишинговым ссылкам, сталкиваются с проверкой CAPTCHA перед вводом учетных данных, которые затем проверяются и отправляются на серверы злоумышленников. Фишинговый набор динамически подстраивает страницы под логотип и фон компании жертвы, повышая их легитимность.
WikiKit использует передовые технологии, чтобы избежать обнаружения, в том числе защищенный от взлома код JavaScript, который пресекает попытки отладки и скрывает методы аутентификации, не используемые по умолчанию. Злоумышленники используют украденные учетные данные для обхода многофакторной аутентификации и перенаправляют жертв на страницы ошибок Microsoft 365 или Outlook, которые кажутся легитимными. По состоянию на декабрь 2024 года кампания продолжает работать с неизменной инфраструктурой и тактикой уклонения.
Indicators of Compromise
URLs
- http://046.free.hr/recognice/auth
- http://aweitapp.com/zeng/advance/auth
- http://casasol-1.jimdosite.com
- http://florenceorganics.us/bdbd
- http://kagumigroup.id/wp-content/plugins/well/auth
- http://leanstartupatelier.co/gridview
- http://mysilverfox.com.my/00
- http://printserve.co.ke/projectsft/auth
- http://www.northernaid.org/auth
- http://www.redeemerlutheran.us/church/faith/sermons/?show=&url=//casasol-1.jimdosite.com
- https://alliedhealthcaresolution.com
- https://artium-construction-limited.jimdosite.com
- https://authorization-required-quaterdeposit-verify-confirmation.scandataactivities.es
- https://auxin.co.in/auth
- https://baptihealth.com
- https://bardach-awards-inc.jimdosite.com
- https://carpetcleaningmanitoba.ca/r/emote/auth
- https://cchosting.co.za/001
- https://cds-logistics.jimdosite.com
- https://construction-sealants-ltd.jimdosite.com
- https://coysem.com/con
- https://desirenetwork.in/auth
- https://docsafybeifur2mabbggrihscauthenticnotes.online/secured
- https://erhakalip.com/leo/auth
- https://eto1908.org/amend
- https://files42.com/auth
- https://funnelflex.co/cgi
- https://globalservicesqtr.com/destinyascuak/project/auth
- https://historischeverenigingmarum.online
- https://hogan-chevrolet-buick-gmc-limited.jimdosite.com
- https://hsrcxeeae.mypi.co/OT
- https://iziloyer.com/auth
- https://loginoffice365commonauth00000365user6867620079.empreendendocomgrafica.com
- https://lovencareurology.in/auth
- https://metalloid-corporation.jimdosite.com
- https://mine-supply-company.jimdosite.com
- https://mscserv.com/secured/message
- https://nashnights.com/optimumref
- https://o7t5dgbx-staging.dreamwp.com/wp-admin/csss/auth0
- https://oempcworlds.org
- https://pike-lake-golf-centre-ltd.jimdosite.com
- https://pipaltree.ngo/wp-includes/wi/authy/auth
- https://profitminers.in/auth
- https://scandataactivities.es
- https://seko-spa.jimdosite.com
- https://senangwasap.com/wp-content/auth/auth
- https://setech-supply-chain-solutions-llc-1.jimdosite.com
- https://sukrajclasses.com/auth/unlock
- https://thewoodlandretreat.in/auth
- https://unalkardesler.net/ms
- https://wwgle.com/auth
- https://www.fabribat.com/htaccess/rdrauth
- https://yaharaho.com/web
- https://yugaljeeautomotive.com/z/pro/mentanance/auth