Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Фишинговые атаки под видом уведомлений о форме W-8BEN: хакеры используют методы быстрой смены доменов и маскировки

phishing

Киберпреступники активно используют тему налогового резидентства для фишинговых атак, нацеленных на пользователей финансовых услуг. Эксперты компании Palo Alto Networks обнаружили новую кампанию, в ходе которой злоумышленники рассылают письма, имитирующие уведомления от финансовых учреждений о необходимости обновления формы W-8BEN. Этот документ подтверждает налоговый статус иностранных лиц для целей налогообложения в США.

Описание

В сообщениях создается ложное чувство срочности. Тема писем варьируется и включает такие варианты, как "Mandatory Action" ("Требуются обязательные действия"), "Important Withholding Tax Notice" ("Важное уведомление о налоге у источника выплаты"), "Official IRS Compliance Update" ("Официальное обновление по соответствию требованиям Налогового управления США") и "Mandatory Renewal of Expired W-8BEN Documentation" ("Обязательное продление просроченной документации по форме W-8BEN"). Отправители используют адреса электронной почты с такими именами пользователей, как support@, noreply@ или finance@, чтобы выглядеть более легитимно.

Особенностью данной кампании, которую исследователи отслеживают как fake_tax_form_phishcloak, является быстрое изменение инфраструктуры для уклонения от обнаружения. Злоумышленники оперативно создают и выдают в эксплуатацию новые фишинговые домены. Большинство доменов для целевых страниц было зарегистрировано в период с 13 октября по 7 ноября 2025 года. Примечательно, что большинство из них были созданы в тот же день или за день до отправки фишинговых писем. Все эти домены были зарегистрированы через одного регистратора - Gname.com Pte. Ltd.

Фишинговые страницы применяют техники маскировки (cloaking), чтобы оставаться незамеченными для систем безопасности. Они активны лишь в течение коротких промежутков времени, что затрудняет их блокировку. Кроме того, домены, используемые для отправки писем, и домены, на которые ведут ссылки в этих письмах, не совпадают, что является еще одним методом усложнения анализа угрозы. В кампании также замечены домены, представляющие собой скомпрометированные или "перехваченные" веб-сайты, такие как ohenvironmental[.]com и rogerfreemanlaw[.]com.

Механизм атаки стандартен, но эффективен. Пользователь, получивший письмо и поверивший в его подлинность, переходит по ссылке на поддельную страницу. Эта страница имитирует форму входа в личный кабинет финансовой организации и собирает учетные данные жертвы. После сбора информации происходит перенаправление пользователя на настоящие страницы часто задаваемых вопросов (FAQ) по налоговой тематике, что создает иллюзию корректного завершения процесса и усыпляет бдительность.

Использование налоговой тематики, особенно связанной с международными формами, является классическим социальным инженерным приемом. Тема вызывает беспокойство у пользователей, которые могут опасаться штрафов или блокировки счетов. Это заставляет их действовать быстро, не задумываясь о проверке подлинности письма. Подобные кампании часто нацелены на сотрудников компаний, работающих с иностранными контрагентами, или на частных инвесторов.

Для защиты от подобных угроз специалисты по информационной безопасности рекомендуют проявлять повышенную бдительность. Следует тщательно проверять адрес отправителя и домен в ссылках, наводя на них курсор. Любые запросы на обновление личной или финансовой информации, особенно сопровождаемые давлением и срочностью, должны вызывать подозрения. Лучшей практикой является самостоятельный вход в официальный кабинет на сайте организации, а не переход по ссылкам из писем. Компаниям необходимо регулярно обучать сотрудников основам кибергигиены и использовать комплексные решения для защиты электронной почты, способные выявлять подобные тактики уклонения.

Индикаторы компрометации

Domains

  • avgaffiliates.com
  • batdnwi.com
  • bdshxuen.com
  • boswlxtip.com
  • cdzietsr.com
  • chqibip.com
  • daoaycz.com
  • dnzumsip.com
  • dzjplpl.com
  • eorojkq.com
  • eupciepv.com
  • eyrlkeip.com
  • fcettmf.com
  • ffmzdnip.com
  • ftmpdtkv.com
  • fuhmmip.com
  • gcbwiujs.com
  • hlnwtuxu.com
  • ijdjgf.com
  • jdbnfxzi.com
  • jildpwgip.com
  • kmnwqdw.com
  • llmkitkha.com
  • ltokuz.com
  • markmcmurray.com
  • mrjsmip.com
  • ncnhreip.com
  • ohenvironmental.com
  • orkwmpd.com
  • oyedujxigl.com
  • oztyrfw.com
  • papigwp.com
  • qczprfva.com
  • qhpxhiqp.com
  • qobyzwd.com
  • qxcship.com
  • rogerfreemanlaw.com
  • tcirfray.com
  • tyowgtni.com
  • uaxaeixc.com
  • ufwycwdd.com
  • urtfwbnn.com
  • us-etrade-access.com
  • wbnoebe.com
  • wckaxzuhq.com
  • wnppffd.com
  • wxydjha.com
  • xlakzip.com
  • ycrlzerap.com
  • yzjiuzxs.com
  • zemnlip.com
  • zltkttzp.com
  • zrimeonk.com
Комментарии: 0
Похожие записи
0
01.08.2025
Индикаторы компрометации

Эксплойты ToolShell стали инструментом для масштабного распространения вымогателя 4l4md4r: новая волна кибератак угрожает корпоративным сетям

ransomware
Группа неизвестных злоумышленников активно использует набор эксплойтов для распространения нового семейства вредоносного ПО - вымогателя 4l4md4r. Об этом свидетельствуют данные, опубликованного Palo Alto Networks.
0
27.10.2025
Индикаторы компрометации

Jingle Thief: марокканские хакеры годами скрытно крадут подарочные карты через Microsoft 365

phishing
Эксперты Unit 42 раскрыли детали многолетней кампании Jingle Thief, которую ведут финансово мотивированные злоумышленники из Марокко. Их уникальный почерк - организация мошенничества с подарочными картами