Фишинг на стороне сервера: кампании по краже учетных данных скрываются от посторонних глаз

Киберпреступники активно совершенствуют методы фишинга, переходя на серверные проверки украденных логинов и паролей, чтобы усложнить обнаружение атак. В новой кампании злоумышленники копируют корпоративные порталы крупных компаний, включая Aramark, Highmark и государственные сервисы, чтобы похищать учетные данные сотрудников.

Описание

Содержание

Как работает атака?
Инфраструктура атаки
Кто стоит за атакой?
IPv4
Domains

Как работает атака?

Точные копии легальных сайтов
- Жертвы попадают на поддельные страницы входа, например:
  - myinfoaramapay[.]com (имитирует портал Aramark MyAccess)
  - forurbestexper[.]com (копирует систему подачи заявок на пособия по безработице в Орегоне, США)
- Страницы выглядят идентично оригиналам, но лишены некоторых элементов (например, чат-бота на сайте Aramark).
Серверная проверка данных
- Раньше фишинговые скрипты перенаправляли жертву на настоящий сайт после кражи данных. Теперь проверка проходит на стороне злоумышленника через скрипты xxx.php и check.php, что затрудняет анализ.
- В некоторых случаях данные сохраняются в localStorage для последующего использования.
Обход двухфакторной аутентификации (2FA)
- На сайте hignmarkedmemb[.]com злоумышленники имитируют процесс 2FA, запрашивая одноразовый код (OTP) и перенаправляя жертву только после его ввода.

Инфраструктура атаки

Основной сервер (80.64.30.101) размещен у провайдера Chang Way Technologies и связан с 12 фишинговыми доменами, включая подделки под AT&T, AFLAC и United Airlines.
Для маскировки на IP-адресе размещен фейковый сайт «Technology Pharmacy CVS» с адресом Белого дома — вероятно, чтобы ввести исследователей в заблуждение.

Кто стоит за атакой?

Активность связывают с APT-группой, возможно, связанной с Gamaredon или другими государственными хакерами. В пользу этого говорит:

Использование инфраструктуры, ранее задействованной в распространении Hydra и SectopRAT.
Применение техник, характерных для целевых атак на корпоративный и госсектор.

Индикаторы компрометации

IPv4

104.21.20.29
104.21.32.181
172.67.153.52
172.67.191.1
80.64.30.100
80.64.30.101

Domains

afilachokloginochok.com
afiocksignoned.com
attdomhomepage.com
charterssonidp.com
empnohourstodayhr.com
eservicesa.live
flyungtogether.com
forurbestexper.com
franchehub.us
hignmarkedmemb.com
ipafranchest.com
lawpaymentpw.live
middafitich.com
myinfoaramapay.com
myportalbsbsist.com
www.adaptchm.com
www.franceuisonl.com