Телеметрия Palo Alto выявила вредоносную кампанию, использующую домены, выдающие себя за налоговую службу США.
Описание
- Связанные с ними сайты возвращают страницу «Робот или человек?». Страница в стиле CAPTCHA, выполняющая перехват вставки.
- Эти страницы пытаются убедить зрителей вставить вредоносный скрипт в запущенное окно.
- Домены используют следующие два шаблона для своих полных доменных имен (FQDN):
- irs.gov-[a-z0-9]*.<tld>
- irs.[a-z]*.gov-[a-z0-9]*.<tld>
- Эти доменные имена содержат и "irs", и "gov" в качестве части FQDN.
- Вредоносные сайты на этих доменах были активны с января 2025 года, но сейчас их уже нет.
Индикаторы компрометации
Domains
- gov-tax.cyou
- gov-tax.icu
- irs.fax.gov-tax.icu
- irs.gov-cause.com
- irs.gov-correspondence.com
- irs.gov-could.com
- irs.gov-delays.com
- irs.gov-enter.com
- irs.gov-expands.com
- irs.gov-file-aid.com
- irs.gov-grants.com
- irs.gov-individual.com
- irs.gov-instructions.com
- irs.gov-letter.com
- irs.gov-manage.com
- irs.gov-notice.com
- irs.gov-related.com
- irs.gov-retreat.com
- irs.gov-rogas.com
- irs.gov-selecting.com
- irs.gov-subsidy.com
- irs.gov-system.com
- irs.gov-tax.cfd
- irs.gov-tax.cyou
- irs.gov-tax.icu
- irs.gov-taxpa.com
- irs.gov-understanding.com
- irs.gov-update.xyz
- irs.gov-verify.com
- irs.org.gov-tax.icu
URLs
- http://188.34.180.125/captch-A.html
- https://doordash.gifts/catalog3/verify.ps1
- https://irs.gov-tax.cfd/?mt_click_id=mt-x9qfi4-1740022510-220448231
- https://irs.org.gov-tax.icu/
SHA256
- 7ec7b41bba47f175c666eb359f31d383feb7162f1b977df4340d5df5abe042e9
- 9c4bf39efc448dacbaf7051ef9ee8d8c709b48841be90654c1c53befac3c76d3
