Фишинговая активность

В настоящее время Palo Alto отслеживает длительную фишинговую кампанию.

Описание

Характеристики фламинговой компании:

• Особый шаблон дизайна окна входа в систему
• Постоянное использование бесплатного API Clearbit с логотипом компании
• Частое использование обфусцированного JavaScript для создания фишинговых страниц
• Иногда в качестве фона фишинговой страницы может отображаться веб-страница поддельной организации.

Clearbit's «Company Logo API» - это бесплатный сервис, который отображает логотипы многих организаций.

К сожалению, как и многие другие бесплатные сервисы, доступные всем желающим, этот API часто используется злоумышленниками в фишинговых кампаниях.

Palo Alto заметили значительный процент фишинговых URL-адресов из этой кампании, отправленных на адреса электронной почты, расположенные в Японии.

Однако получатели этих фишинговых URL-адресов включают представителей различных национальностей и отраслей.

Indicators of Compromise

URLs

• alex-photographer.co.il/new/indesx.htm#[адрес электронной почты получателя]
• bafkreidhpfo5zkesu6ij5uyyizpvf54q52ianh5mz7kjqr3w5ckdij4mhy.ipfs.flk-ipfs.xyz/#[адрес электронной почты получателя]
• bafkreidlrvqd22xpjynhp7ysv7kkvcda2ouf6vwq2t372abdxnwsmhfjve.ipfs.flk-ipfs.xyz/#[адрес электронной почты получателя]
• bloqueado.canoasnet.com.br/jp/indesx.htm#[адрес электронной почты получателя]
• ciudapp.com.ar/sx/indesx.htm#[адрес электронной почты получателя]
• daffy-precious-barge.glitch.me/#[адрес электронной почты получателя]
• elton.fluirpublicidade.com/wp-content/webmail/#[адрес электронной почты получателя]
• email-authenticationaccessvalidationprocess47358f83948of.quercus.org?#[адрес электронной почты получателя]
• goproinfotech.com/Web3/index.htm#[адрес электронной почты получателя]
• inovtecautomacao.com.br/jp/indesx.htm#[адрес электронной почты получателя]
• newverificationsrequi.blob.core.windows.net/newverificationsrequireds/newverificationsrequireds.html?#[адрес электронной почты получателя]
• onedrive-files.mos.ap-southeast-2.sufybkt.com/webmail%20successful.html#[адрес электронной почты получателя]
• pub-0798b167efe449f3bd2a046e446b8a39.r2.dev/session3/AuthRq.html?[информация удалена]
• pub-4cd90db9d4b14c9e955a0578e3e56332.r2.dev/session2/AuthQr.html?[адрес электронной почты получателя]
• road-unleashed-chasmosaurus.glitch.me/#[адрес электронной почты получателя]
• shade-silken-navy.glitch.me/?email=[адрес электронной почты получателя]
• spiral-military-bait.glitch.me/#[адрес электронной почты получателя]
• storage.bunnycdn.com/crazesk/crazesk/scr.htm?accessKey=f5d95962-0a9b-4878-a9e379726aec-54cf-476d&#[адрес электронной почты получателя]
• storage.bunnycdn.com/crazesk/doomp/scr.htm?accessKey=f5d95962-0a9b-4878-a9e379726aec-54cf-476d&#[адрес электронной почты получателя]
• storage.bunnycdn.com/crazesk/lastly/scr.htm?accessKey=f5d95962-0a9b-4878-a9e379726aec-54cf-476d&#[адрес электронной почты получателя]
• storage.bunnycdn.com/crazesk/passion/scr.htm?accessKey=f5d95962-0a9b-4878-a9e379726aec-54cf-476d&#[адрес электронной почты получателя]
• webauthmailjp.agerespais.com#[адрес электронной почты получателя]
• webmail-settings-493843.mos.ap-southeast-2.sufybkt.com/russian%20successful%20login.html#[адрес электронной почты получателя]