Компания EclecticIQ опубликовала отчет, в котором подробно описывается фишинговая кампания, проведенная в октябре 2024 года и затронувшая телекоммуникационный и финансовый сектора. Кампания использовала Google Docs и Weebly, две надежные платформы, чтобы обойти обнаружение и провести социальную инженерию целей. было выявлено, что злоумышленники внедряли фишинговые ссылки в презентации Google Docs, перенаправляя жертв на поддельные страницы входа в систему, размещенные на Weebly. Такой подход позволил кампании обойти традиционные фильтры электронной почты и средства защиты конечных точек, используя легитимность этих платформ.
Описание
В рамках кампании использовались фишинговые страницы, имитирующие телекоммуникационные и финансовые организации, такие как AT&T и канадские банки. Эти страницы содержали поддельные подсказки многофакторной аутентификации (MFA) для повышения доверия и обмана жертв с целью разглашения конфиденциальной информации. Инфраструктура динамического DNS позволяла часто менять URL-адреса, что затрудняло обнаружение и ликвидацию атак.
Легальные инструменты отслеживания, такие как Google Analytics, были интегрированы в фишинговые наборы для мониторинга взаимодействия с пользователями, сбора данных об IP-адресах и уточнения стратегии атак. По данным исследователей EclecticIQ, злоумышленники также использовали подмену SIM-карт для обхода защиты MFA на основе SMS, что подчеркивает необходимость использования решений MFA на основе приложений или аппаратных средств.
Кроме того, в кампании использовались фишинговые заманухи, направленные на профессионалов в области кибербезопасности и имитирующие учебные материалы по безопасности. Эта стратегия была направлена на компрометацию привилегированных учетных записей с помощью специально разработанных и убедительных попыток фишинга. Использование общих IP-адресов и централизация инфраструктуры в сети хостинга Weebly подчеркнули операционную эффективность злоумышленников.
Indicators of Compromise
URLs
- http://myredapplebank.weebly.com
- https://aolservlogsni.weebly.com
- https://att-mail-102779.weeblysite.com
- https://attmailteam87iu.weebly.com
- https://currentilydbsbatusfitaluabutes.weebly.com
- https://currently-att-8-2-2024.weeblysite.com
- https://currentlyattyahoo850.weebly.com
- https://docs.google.com/presentation/d/e/2PACX-1vRdrlMXfpcvp7a-cdFD6fU4qN6V6uo0JuHb8cW8VM5hJQ4lViEIN3_Q4CdtJGhfVYYMAMVz_MjHA8to/pub?usp=embed_facebook
- https://docs.google.com/presentation/d/e/2PACX-1vSMcWcXkT6Sj1zUSKwPxxorafu58YpjAd1mpi1oB1mbUpiMiQTvJDbD3zULJTTWvtpjXOvamDEBY5f3/pub?usp=embed_facebook
- https://metamask-us-extension.weebly.com
- https://mwebservlce.weebly.com
- https://novedadscotiab03.weebly.com
- https://secureaunthenticatorrrrr.weebly.com
- https://securebanklogin.weebly.com
- https://securedprofile-infosuckkk.weebly.com
- https://signup-robinhood.weebly.com
- https://telstra-webmail-login.weeblysite.com
- https://umpquawoers-accessmail.weebly.com
- https://update-baca-bank-aqmakaeyaa.weebly.com
- https://yahoopaymentsecurity.weebly.com
