CERT-UA 10.08.2023 зафиксировано массовое распространение среди государственных органов фишинговых электронных писем с темой "[CERT-UA#5086] Подозрительный вход в ваш почтовый ящик", якобы, от имени CERT-UA с использованием символики ДЦКЗ Госспецсвязи.
Упомянутые письма содержат призыв к изменению пароля и ссылки на веб-ресурс, имитирующий веб-интерфейс программного обеспечения Roundcube.
В случае перехода по ссылке и введения аутентификационных данных, логин и пароль будут отправлены злоумышленнику с помощью HTTP POST-запроса.
На этот раз поддельный веб-ресурс создан с помощью бесплатного сервиса InfinityFree; кроме того, использован субдомен mlcrosoft.rf[.]gd, который, вероятно, должен был бы имитировать сервисы Microsoft.
Indicators of Compromise
IPv4
- 185.27.134.129
- 185.88.153.138
Domains
- mlcrosoft.rf.gd
URLs
- https://mlcrosoft.rf.gd/mail/?el=3c6d0a4516de3b6a89b373f0d8d6de4cc081154fc3680efbe7b9f9d1
- https://mlcrosoft.rf.gd/mail/?el=4ef85906f8a881986a3f05fbb699ab0d6096919c73553dbb93c906d6
- https://mlcrosoft.rf.gd/mail/?el=7247301f1ba605aa98c5b2194819f558986e5d89467041b0da78a04c
- https://mlcrosoft.rf.gd/mail/inf.php
- https://mlcrosoft.rf.gd/mail/script.js
