Недавняя фишинговая кампания нацелена на клиентов популярных торговых платформ в разных странах. Эти сайты представляют один и тот же шаблон для страниц входа в систему на разных доменах, предлагая пользователям ввести свои номера телефонов и пароли.
Описание
- Кампания подделывает различные популярные сайты интернет-магазинов, предоставляя фальшивую страницу входа.
- Все эти фальшивые страницы используют один и тот же шаблон дизайна и запрашивают номер телефона и пароль.
- По данным нашей телеметрии Palo Alto, веб-страницы, использующие этот шаблон дизайна, появились еще в ноябре 2024 года.
- После того как жертва вводит данные для входа в систему, эти веб-страницы возвращают жестко закодированный ответ «The account does not exist».
- После отправки код веб-страницы отправляет информацию о пользователе на локальный хост (веб-сервер) вместо того, чтобы аутентифицироваться на реальном сайте интернет-магазина.
Примеры URL
- hxxps[:]//[имя домена]/index/user/login.html
- hxxps[:]//[доменное имя]/h5/index/user/login.html
Пример http post-запроса для отправки учетных данных логина обратно на веб-сервер:
- hxxps[:]//[имя домена]/index/user/do_login.html
Indicators of Compromise
Domains
- 3chvt.shop
- 6at3.com
- 7uzx.com
- 7uzx.shop
- ama-zon-pk.club
- amwv10.top
- bjggc.vip
- dewgmee.vip
- gateeioe.com
- meescnja.top
- noon368.cc
- uyugg.vip
- www.ababao678.com
- www.gateeioe.com
- www.goodmallc.com
- www.nu9hh.com
- ynjfs.vip
