Эксперты компании Palo Alto Networks обнаружили масштабную фишинг-кампанию, получившую название «C2-SOCK», которая использует принципиально новый подход к краже конфиденциальных данных. В отличие от традиционных фишинговых атак, эта кампания не просто собирает введённые пользователями логины и пароли, но и устанавливает в браузере жертвы постоянный канал связи с командным сервером злоумышленников. Это позволяет контролировать действия пользователя в реальном времени, изменять содержимое веб-страниц и перехватывать все нажатия клавиш, даже если жертва так и не отправила данные формы.
Описание
Кампания использует специализированный вредоносный скрипт, который выполняет несколько функций одновременно. Во-первых, он занимается классическим сбором учётных данных: когда пользователь вводит информацию в поля формы на поддельной странице, эти данные перехватываются. Однако ключевое отличие заключается в том, что скрипт немедленно передаёт все нажатия клавиш на удалённый сервер с помощью технологии WebSocket. Это означает, что злоумышленники видят логин и пароль по мере их ввода, до того как пользователь нажмёт кнопку отправки формы. Такой подход значительно повышает шансы на успешную кражу данных.
Вторая критически важная функция - это динамическое управление содержимым веб-страницы. Используя установленное WebSocket-соединение как канал командования и управления, злоумышленники могут отправлять в браузер жертвы команды для изменения отображаемого контента «на лету». Атака может принудительно перенаправить браузер на другой вредоносный ресурс, показывать всплывающие окна с контролируемыми сервером сообщениями и кнопками, а также отображать фальшивые сообщения об ошибках для дополнительного дезориентирования пользователя. Это создаёт ощущение интерактивности и позволяет гибко подстраиваться под поведение жертвы.
Третья составляющая атаки - это отслеживание и создание цифрового отпечатка устройства. Скрипт собирает детальную информацию об операционной системе и браузере жертвы, создавая уникальный идентификатор, который сохраняется в локальном хранилище браузера. Это позволяет злоумышленникам узнавать пользователя при повторных посещениях и отслеживать его действия в течение долгого времени. На мобильных устройствах скрипт дополнительно фиксирует координаты касаний экрана, что даёт представление о том, как пользователь взаимодействует с интерфейсом.
Инфраструктура кампании демонстрирует её значительный масштаб. На сегодняшний день зафиксировано более 13 000 URL-адресов, связанных с этой активностью. При этом злоумышленники используют относительно небольшой пул хостинг-провайдеров для размещения своих ресурсов. Например, IP-адрес 171.22.193[.]27 за последние шесть месяцев обслуживал более 900 вредоносных доменов в рамках этой кампании. Аналитики отмечают, что фишинг-страницы выполнены на китайском языке и часто используют домены верхнего уровня .cn, что может указывать на региональную направленность атаки или на попытку маскировки под легитимные китайские ресурсы.
Гибридный характер атаки, сочетающий кражу учётных данных с интерактивным управлением сессией через постоянный C2-канал, представляет серьёзную угрозу. Традиционные средства защиты, ориентированные на блокировку одноэтапного сбора данных, могут оказаться неэффективными против такого сценария, поскольку вредоносная активность не прекращается после отправки формы. Эксперты рекомендуют организациям усиливать мониторинг веб-трафика на предмет аномальных WebSocket-подключений, а также повышать осведомлённость пользователей о подобных тактиках. Для индивидуальных пользователей остаются актуальными базовые правила безопасности: проверять адреса посещаемых сайтов, использовать двухфакторную аутентификацию и устанавливать обновления для браузеров и операционных систем.
Индикаторы компрометации
IPv4
- 171.22.193.27
IPv4 Port Combinations
- 171.22.193.27:2012
- 171.22.193.37:2012
Domains
- 00.audibs99o.cn
- dm15025174.fcnrs.cn
- fw-hu.cn
- jbsgfchj.cn
- lcjrz.cn
- lqkypt.cn
- qngnj.cn
- qwyuxbp.cn
- rbemwlx.cn
- rgfdd.cn
- rtwmh.cn
- rufeng.kngnj.cn
- tnfpx1.cn
- um-71.cn
- vljuguyn.iicmv11.cn
- wdxocrh.cn
- yumen.qccgl.cn
- zhongbei.iicmv11.cn
- zhouding.qccgl.cn
- zppkq.fcnrs.cn
URLs
- http://02354.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://10.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://193427865.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://224.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://2748802.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://2803.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://285122977.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://30.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://30094.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://3237.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://33898017.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://341.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://4129800.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://418.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://437142.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://4726818.hwqbg.cn/?name=[адрес электронной почты получателя]
- http://47434.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://526.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://55068.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://56591949.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://6131434.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://664.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://6839.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://723954.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://731494636.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://7565906.jfkxn.cn/?name=[potential
- http://7565906.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://7565906.jfkxn.cn/1/img/1.gif
- http://7565906.jfkxn.cn/1/img/1.jpg
- http://7565906.jfkxn.cn/1/js/xm.js
- http://7565906.jfkxn.cn/1/shouye.php?name=[potential
- http://7565906.jfkxn.cn/favicon.ico
- http://7565906.jfkxn.cn/js/jquery-2.0.2.min.js
- http://7565906.jfkxn.cn/layui-v2.7.6/layui/css/modules/code.css?v=3
- http://7565906.jfkxn.cn/layui-v2.7.6/layui/css/modules/laydate/default/laydate.css?v=5.3.1
- http://7565906.jfkxn.cn/layui-v2.7.6/layui/css/modules/layer/default/layer.css?v=3.5.1
- http://7565906.jfkxn.cn/layui-v2.7.6/layui/layui.js
- http://7565906.jfkxn.cn/socket/dist/socket.io.min.js
- http://796.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://796507.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://820483838.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://83.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://8341.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://86.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://87859.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://9038901.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://91617.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://961.jfkxn.cn/?name=[адрес электронной почты получателя]
- http://966131149.nkcrb.cn/?name=[адрес электронной почты получателя]
- http://96757.hwqbg.cn/?name=[адрес электронной почты получателя]
- https://rtwmh.cn:2012/canshu1/canshu
- https://rtwmh.cn:2012/chuanshu1/chuanshu?qishixianshi=13
- https://rtwmh.cn:2012/qiantaizhuanyon_chaxun/chaxunhoutaicanshu
- https://rtwmh.cn:2012/qiantaizhuanyon_chaxun/chaxunkaiguan
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYB48
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYBw8&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYBwC&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYC8N&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYC8V&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYCMI&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYCMQ&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=polling&t=PdfYCSo&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/socket.io/?suiji=b2KcU2gWSOzi&EIO=4&transport=websocket&sid=e26Rjq_7QQM5TbGNAZ40
- https://rtwmh.cn:2012/zhilingtai1/zhilingtai