Недавно компания Menlo Labs обнаружила фишинговую кампанию, направленную на руководителей высшего звена в различных отраслях, но в первую очередь на банки и финансовые услуги, страховые компании, управление недвижимостью и производство.
Ниже приведены основные выводы, сделанные на основе проведенного Menlo исследования этой фишинговой кампании:
- Кампания началась в июле и продолжалась в августе.
- В кампании использовался сложный фишинговый набор под названием "EvilProxy", который действует как обратный прокси-сервер, перехватывающий запросы между клиентом и легитимным сайтом.
- EvilProxy" обладает способностью перехватывать сессионные cookies, тем самым обходя нефишинговые MFA.
- Кампания была направлена в основном на организации, расположенные в США.
- Угрозы использовали открытую уязвимость перенаправления на платформе поиска работы "indeed.com", перенаправляя жертв на вредоносные фишинговые страницы, выдающие себя за Microsoft.
Это классический пример фишинговой атаки AiTM (Adversary In The Middle), когда сбор сессионных cookie-файлов позволяет злоумышленникам обойти защиту MFA.
Indicators of Compromise
IPv4
- 116.90.49.27
- 193.239.85.29
- 199.204.248.121
- 202.139.238.230
- 206.189.190.128
- 212.224.107.74
- 85.187.128.19
Domains
- catalogsumut.com
- earthscigrovp.com.au
- ivonnesart.com
- lmo.bartmfil.com
- lmo.roxylvfuco.com.au
- lmo.triperlid.com
- mscr.earthscigrovp.com.au
- roxylvfuco.com.au
- sheridanwyolibrary.org
- vfuco.com.au
