Фишинг против энергетики США: как клонирование сайтов стало массовой угрозой в 2025 году

Энергетическая отрасль остается приоритетной мишенью для атакующих из-за глобального узнавания брендов и высокого уровня доверия со стороны потребителей и инвесторов. Это делает фишинговые кампании особенно эффективными для кражи учетных данных и мошенничества в крупных масштабах. Исследование Hunt.io демонстрирует, что злоумышленники активно используют инструмент HTTrack Website Copier для быстрого копирования легальных сайтов, дополняя их мошенническими формами входа и регистрации.

Ярким примером стала кампания против Chevron. Домен chevroncvxstocks[.]com, размещенный в США, был точной копией официального сайта компании, включая лозунг "Human Energy" и оригинальные хэши фавикона. Анализ кода показал наличие комментариев HTTrack, подтверждающих клонирование. При этом только 6 из 94 антивирусных вендоров в VirusTotal пометили ресурс как вредоносный. Второй домен, humanenergy-company.com.cargoxpressdelivery[.]com, размещенный во Франции, использовал тот же контент и был связан с фейковым инвестиционным порталом "Chev Corp Stocks", сочетающим кражу учетных данных с схемой высокодоходных инвестиционных программ (HYIP).

Расследование выявило многоуровневую инфраструктуру атакующих. Клонированный контент часто размещался на разных IP-адресах в США, Франции и Германии, что усложняло его оперативное блокирование. На некоторых ресурсах, например, humanenergy-company[.]com, были обнаружены открытые директории с файлами, имитирующими разделы для инвесторов, что указывает на долгосрочное планирование кампаний. Анализ IP-адресов, связанных с доменами для фишинга ConocoPhillips, показал их связь с активностью стилера Rhadamanthys и трафиковым дистрибьютором Keitaro, что свидетельствует о переплетении фишинга с другими видами кибератак.

Особую озабоченность вызывает низкий уровень детектирования таких угроз. Например, домен conocophils[.]com, нацеленный на ConocoPhillips, был помечен как вредоносный только одним из 94 сканеров VirusTotal, а ресурс phillips66-carros[.]site не вызвал подозрений ни у одного из проверяющих механизмов. Это демонстрирует серьезные пробелы в современных системах защиты.

В случае с PBF Energy злоумышленники использовали более изощренную тактику. Сайт advancedownloads[.]com содержал JavaScript-код, который собирал вредоносный архив PBFUpdate.zip из Base64-кодированных фрагментов прямо в браузере жертвы. При этом в коде страницы осталась ссылка на локальную папку разработчика file:///C:/Do_Not_Scan/Working/Phishing/, что указывает на небрежность атакующих, но также и на их техническую подготовку.

Эксперты подчеркивают, что фишинг в энергетическом секторе перешел от единичных атак к индустриализированной модели. Атакующие научились масштабировать кампании за счет клонирования контента, использования разнообразной хостинговой инфраструктуры и комбинирования кражи учетных данных с финансовым мошенничеством. Количество доменов, имитирующих Chevron, выросло с 8 в 2024 году до 158 в 2025, что свидетельствует о растущей активности.

Ситуация 2025 года наглядно показывает, что традиционные методы обнаружения фишинга не успевают за эволюцией атак. Успешная защита будет зависеть от скорости реакции, глубины анализа артефактов и межотраслевого сотрудничества. Энергетические компании, как критически важная инфраструктура, должны стать приоритетом для разработки более эффективных стратегий смягчения угроз.

IPv4

• 15.197.148.33
• 172.245.14.131
• 195.35.60.66
• 20.109.17.202
• 3.33.130.190
• 82.197.83.57
• 92.112.189.173
• 94.23.160.111

Domains

• advancedownloads.com
• cclresources.com
• chevroncorpstocks.com
• chevroncvxstocks.com
• conocophillips.live
• conocophils.com
• humanenergy-company.com
• humanenergy-company.com.cargoxpressdelivery.com
• pbfenergy.cc
• PBFUpdate.zip
• phillips66-carros.site
• phillips66lubricants.ru
• phillips66shop.com
• wwwmyphillips66card.com
• xn--conocopillips-2z0g.com

MD5

• 6296ae44fae279994f4b127bd08db3e1