Главная страница » Индикаторы компрометации
0
6 дней
Индикаторы компрометации

Фишинг-атаки маскируются под уведомления о безопасности электронной почты

phishing

Эксперты по кибербезопасности из Palo Alto Networks обнаружили новую фишинг-кампанию, в которой злоумышленники рассылают сообщения, замаскированные под уведомления систем безопасности электронной почты. Данные сообщения искусно имитируют легитимные предупреждения и могут обходить стандартные фильтры спама.

Описание

По данным исследователей, фишинговые письма оформлены как предупреждения о блокировке важных сообщений. В частности, злоумышленники утверждают, что система безопасности заблокировала срочные уведомления, включая неоплаченные счета, информацию о доставке посылок и коммерческие запросы. Для получения доступа к якобы заблокированным сообщениям получателям предлагается нажать на кнопку, которая перенаправляет их на поддельную страницу входа в почтовый сервис.

Особенностью данной кампании является спуфинг домена отправителя. Злоумышленники подделывают адреса отправителей, используя домен получателя, например cpanel@[домен_получателя] или no-reply@[домен_получателя]. Это повышает доверие к сообщению, поскольку оно выглядит исходящим от собственной почтовой системы организации.

Текст фишинговых писем содержит различные социально-инженерные триггеры. В некоторых случаях сообщения утверждают, что пароль пользователя скоро истечет, и необходимо немедленно принять меры для сохранения доступа к учетной записи. Другие варианты предлагают получателям верифицировать и добавить в "белый список" сообщения из "карантина антиспам-системы".

Поддельные страницы входа размещаются на различных хостинг-сервисах, включая домены surge[.]sh, vercel[.]app и workers[.]dev. Страницы используют базовые техники обфускации для сокрытия вредоносного кода. Например, исследователи обнаружили использование устаревшей функции document.write(escape(...)) для замены символов escape-последовательностями.

Механизм сбора учетных данных реализован достаточно изощренно. Когда пользователь вводит пароль, данные передаются через HTTP POST-запрос на контролируый злоумышленниками сервер. После этого появляется фальшивое сообщение об ошибке "Неверный логин", которое отображается в течение двух секунд, после чего поле пароля очищается. Это известная тактика, направленная на то, чтобы пользователь повторно ввел пароль, предполагая, что допустил ошибку при первом вводе.

После трехкратного ввода пароля пользователь перенаправляется на легитимный сайт - либо на реальный домен своей организации, либо на главную страницу поиска Google. Это создает ложное ощущение безопасности и затрудняет обнаружение факта компрометации.

В некоторых случаях исследователи наблюдали ошибки Cross-Origin Resource Sharing (CORS), что свидетельствует о неправильной конфигурации веб-серверов, на которых размещаются фишинговые страницы. В частности, код для генерации HTTP-трафика может не содержать заголовка Access-Control-Allow-Origin.

Аналитики отмечают, что хотя тактика использования скриншотов и логотипов, принадлежащих домену получателя, появилась несколько лет назад, злоумышленники продолжают совершенствовать свои методы. В этой кампании наблюдаются как обновление инфраструктуры, так и улучшение техник доставки электронной почты и сбора учетных данных.

Специалисты по безопасности рекомендуют рассматривать все подобные письма как потенциально вредоносные. Пользователям следует избегать ввода учетных данных на сайтах, на которые ведут ссылки из подобных сообщений. Организациям рекомендуется усилить обучение сотрудников по вопросам кибербезопасности и внедрить многофакторную аутентификацию для доступа к корпоративным системам.

Данная фишинг-кампания демонстрирует, что злоумышленники продолжают развивать социально-инженерные атаки, делая их все более изощренными и направленными на эксплуатацию человеческого фактора. В результате даже технически подкованные пользователи могут стать жертвами таких атак, если не будут проявлять должную бдительность при работе с электронной почтой.

Индикаторы компрометации

URLs

  • https://api.telegram.org/bot/8142645156:AAHyinB_3-5yUCEmaLHfckmZspCl15uQM7/sendMessage
  • https://client1.inftrimool.xyz/er4.php
  • https://lotusbridge.ru.com/docs/evan.fern.webm/PostCallLink/index.php
  • https://office21.mdbgo.io/nb/ai/gb.html#[recipient's email address]
  • https://psee.io/89qcxf#[recipient's email address]
  • https://shain-log4rtf.surge.sh/_next/static/chunks/app/owa/state/aHR0cHM6Ly/page-cd147fd609866459.js
  • https://shain-log4rtf.surge.sh/owa/state/aHR0cHM6Ly/#[recipient's email address]
  • https://veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev/#[recipient's email address]
  • https://xxx-three-theta.vercel.app/#[recipient's email address]
Комментарии: 0
Похожие записи
0
19.05.2025
Индикаторы компрометации

Оценка группы угроз: Muddled Libra

security
Группа Muddled Libra является динамичной и изменчивой, постоянно расширяя свои навыки и инструментарий для проведения атак. Их тактика включает в себя использование социальной инженерии, фишинга, взлома
0
05.02.2025
Индикаторы компрометации

Более пристальный взгляд на растущую угрозу похитителей информации в macOS

Stealer
Компания Palo Alto Networks недавно обнаружила увеличивающееся количество атак на пользователей macOS. Последние исследования выявили три распространенных стилера для macOS: Poseidon, Atomic и Cthulhu.
0
22.10.2025
Индикаторы компрометации

Киберпреступники используют легитимные сервисы веб-форм для фишинговых атак

phishing
Новый метод фишинговых атак, использующий легитимные сервисы для создания веб-форм, представляет серьезную угрозу для корпоративной безопасности. Согласно исследованию специалиста по кибербезопасности
0
18.11.2025
Индикаторы компрометации

Китайскоязычные пользователи столкнулись с масштабными фишинговыми кампаниями Gh0st RAT через поддельные сайты популярного ПО

remote access Trojan
В 2025 году киберпреступники развернули две взаимосвязанные кампании по распространению модификаций трояна Gh0st RAT (Remote Access Trojan - троян удаленного доступа), нацеленные на китайскоязычных пользователей по всему миру.