Исследователи TRAC Labs опубликовали отчет о фишинговых кампаниях с использованием фишингового набора, получившего название «Gabagool», направленных на корпоративных и государственных служащих.
Gabagool Phishing kit
Цепочка заражения начинается с того, что злоумышленник взламывает учетную запись электронной почты пользователя и начинает рассылать фишинговые письма другим сотрудникам. Фишинговые письма содержат поддельные изображения документов или QR-коды, которые при нажатии или сканировании перенаправляют пользователя на легитимную платформу обмена файлами, такую как SharePoint, Box или SugarSync. Попав на файлообменную платформу, пользователь снова получает предложение просмотреть или скачать документ и перенаправляется на другую целевую страницу, размещенную на сервере Cloudflare R2 bucket.
Набор Gabagool использует шифрование AES, чтобы скрыть свои операции, включая связь с командно-контрольным сервером. Сбор учетных данных происходит на целевых страницах, а украденные данные отправляются на зашифрованный сервер. Фишинг-фреймворк нацелен на корпоративные и правительственные данные, так как сервер выполняет проверку, в результате которой принимаются только домены организаций, а адреса электронной почты из таких доменов, как outlook[.]com и hotmail[.]com, отклоняются. Фреймворк также адаптируется к настройкам аутентификации пользователя, включая многофакторную аутентификацию, предлагая такие варианты, как уведомления в телефонных приложениях или SMS-коды.
Indicators of Compromise
Domains
- anyonnee.top
- chameleonfood.top
- firebyforge.top
- fowlervillefd.top
- idiontsyashie.top
- kenprotaclaim.top
- lonestarcom.top
- moumdbouuk.top
- o365.alnassers.net
- powerdmouvinr.top
- protaincain.top
- vangabouned.top
- westmounte.top
- yorkshimber.top
- yunetbe.top
