Фишинговая кампания под видом обновления Windows использует сотни поддоменов Azure для обхода блокировок

Атака начинается с письма, которое подделывает обратный адрес microsoft-noreply@microsoft.com. Перейдя по ссылке, жертва попадает на промежуточную страницу, проверяющую тип устройства: с мобильного показывается просьба перейти на компьютер, а с ПК - загружается зашифрованный фишинговый комплект. Ключ дешифрования передаётся в URL-фрагменте после символа #, без этого фрагмента страница не отображает ничего. Сам вредоносный контент запакован в скрытый div-элемент и зашифрован алгоритмом AES-256-CBC: первые 16 байт - вектор инициализации, затем зашифрованный текст, последние 32 байта - HMAC-SHA256 для проверки целостности.

Исследователи обнаружили серьёзную операционную ошибку разработчиков этого набора для фишинга. Ключ HMAC-SHA256 оказался жёстко прописан в коде и одинаков для всех экземпляров: a3928be5f5b6af086ad652a2fed39623. Этот 32-символьный отпечаток позволяет однозначно идентифицировать все страницы, созданные одним и тем же инструментом. Кроме того, злоумышленники внедрили систему ротации телефонных номеров: специальный JavaScript-скрипт каждые 6-12 секунд загружает актуальный номер из одного из трёх управляемых паст-хостингов и подставляет его в текст страницы. Таким образом, операторы могут менять контактный номер глобально, не пересобирая ни одного из сотен фишинговых сайтов.

Расшифрованная страница имитирует интерфейс Microsoft Defender и центра защиты Windows на беглом японском языке. Она показывает фальшивую последовательность проверки лицензий, сигнатур и памяти, затем выводит красную панель "Экстренное предупреждение об угрозе" с утверждением, что устройство захвачено программами-вымогателями, а все учётные данные и документы скомпрометированы. Жертву принуждают немедленно позвонить по номеру технической поддержки. Для дополнительного психологического давления страница автоматически проигрывает звук сирены, скрывает курсор мыши и блокирует контекстное меню и клавиши.

Чтобы обойти автоматические системы обнаружения, в разметку вставлены скрытые абзацы-пустышки на английском языке (о быстрой моде, прививке фруктовых деревьев и прочем) с использованием невидимых Zero-Width Unicode-символов.

Один из трёх бэкендов для ротации номеров - realslimshady[.]net - размещён на хостинге Aeza (AS210644), который с июля 2025 года находится под санкциями Управления по контролю за иностранными активами Минфина США. Два других прикрыты Cloudflare, а третий домен neconki.top был зарегистрирован за день до публикации отчёта через регистратора Spaceship, что указывает на активную ротацию инфраструктуры. Microsoft уже заблокировала большинство задействованных поддоменов Azure, но на момент написания статьи как минимум одна активная страница оставалась в сети.

IPv4

• 5.182.87.132

Domains

• abrakadabra.it.com
• badeseti.z38.web.core.windows.net
• beroleziva.z1.web.core.windows.net
• betotifi.z21.web.core.windows.net
• bibufiraye.z31.web.core.windows.net
• docowafiwo.z1.web.core.windows.net
• liwolapu.z36.web.core.windows.net
• mibefatu.z33.web.core.windows.net
• migivivowo.z20.web.core.windows.net
• neconki.top
• realslimshady.net
• rudecutug.z28.web.core.windows.net
• rufawowop.z1.web.core.windows.net
• sayavesuwi.z20.web.core.windows.net
• tunibicat.z12.web.core.windows.net
• yedadawer.z1.web.core.windows.net
• zowefesabo.z43.web.core.windows.net
• zufovabofi.z27.web.core.windows.net

URLs

• https://abrakadabra.it.com/jpmaclaud
• https://neconki.top/jpmaclaud
• https://realslimshady.net/jpmaclaud

Emails

• microsoft-noreply@microsoft.com

SHA256

• 2250b12957834d0e9f3ab6e7b296b9b25b6d0a292ffdd22fcf4b5842c26b06bc
• 2589a5798738592a7f4ff775dab892e79c3b5c50fe549bc60bc376c4b0832cd5
• ac91aa6705e591be9feacdb05e7f6c16d35bcbc1be042e44e70143be8382d44c
• b497e0bf25a301827ac91960ee620c83c2ac1f9a1866ebcc28d00999b8793dc1