Недавно CERT-AGID обнаружил фишинговую кампанию с использованием брендов WeTransfer, популярного файлообменного сервиса, и cPanel, панели управления для управления и администрирования веб-сайтов. Мошеннические письма содержат ссылки на якобы общие файлы, которые перенаправляют на фальшивую страницу входа в систему.
Описание
Перейдя по указанной ссылке, пользователь попадает на страницу, убедительно имитирующую форму входа в веб-почту cPanel и предназначенную для кражи учетных данных. Эта страница размещена на GitHub Pages - легитимной платформе GitHub, которая позволяет размещать статические веб-сайты непосредственно в репозиториях. Использование подлинного домена GitHub повышает доверие жертвы к сайту, что делает атаку еще более обманчивой.
Анализ HTML-кода и встроенного JavaScript показывает, что страница предназначена для отправки украденных учетных данных боту Telegram. Помимо информации для входа в систему, передаются и другие данные, такие как MX-записи почтового провайдера и информация о геолокации IP-адреса жертвы.
Использование Telegram в качестве инструмента для сбора и передачи конфиденциальной информации становится все более распространенным в фишинговых и вредоносных кампаниях. Действительно, боты Telegram позволяют злоумышленникам собирать украденные у жертв данные в режиме реального времени, используя платформу, которую легко использовать и которой трудно противостоять.
Indicators of Compromise
Domains
- stephan1eoluchi.github.io
URLs
- https://api.telegram.org/bot5376961693
- https://stephan1eoluchi.github.io/
- https://stephan1eoluchi.github.io/docuvwiyugjkkkh/
- https://stephan1eoluchi.github.io/docxvweuu/
