Группировка UNC1151 начала масштабные фишинговые атаки на польских пользователей Gmail с кражей кодов двухфакторной аутентификации

По данным CERT Polska, кампания идёт с высокой интенсивностью, преимущественно в будние дни. Специалисты наблюдают появление новых фишинговых доменов почти ежедневно. Методика UNC1151 остаётся проверенной: потенциальным жертвам приходят электронные письма, написанные на чистом польском языке без явных грамматических ошибок. Отправители маскируются под службу поддержки Gmail или отдел безопасности. Тематика сообщений стандартна - "Критический сигнал", "Обнаружена попытка входа с нового устройства", "Ваша учётная запись может быть заблокирована". В письмах содержится ссылка, ведущая на поддельную страницу авторизации, которая визуально неотличима от настоящего интерфейса Gmail.

Ключевое отличие от предыдущих атак на польские сервисы - возможность кражи второго фактора. Злоумышленники не просто собирают логин и пароль. После ввода этих данных система фишинг-страницы инициирует автоматическую попытку входа в аккаунт жертвы. Если запрашивается код подтверждения, страница показывает дополнительное поле для его ввода. Так перехватываются как SMS-коды, так и одноразовые пароли из приложений вроде Google Authenticator.

В новом отчёте CERT Polska подробно описала и другие особенности кампании. Группа часто рассылает письма не прямым адресатам, а используя механизм скрытой копии (BCC). Это значит, что злоумышленники не всегда точно знают владельца почтового ящика - они могут пытаться угадать адрес, и тогда фишинговые сообщения получают случайные люди с похожими именами. Атаки повторяются: если жертва не попала на удочку, ей могут отправить несколько почти идентичных писем за короткий промежуток времени, увеличивая давление. Например, в одном сообщении говорится о блокировке через 24 часа, а в следующем - уже через 6 часов. Даже если злоумышленники получили учётные данные, но не смогли войти в аккаунт (например, из-за неверного кода 2FA), они продолжают рассылку.

Инфраструктура UNC1151 динамична. За последние три месяца специалисты наблюдали использование доменов, зарегистрированных специально для фишинга, обычно в зонах .icu, .digital и .top. Кроме того, группировка активно злоупотребляет платформами, позволяющими размещать собственные сайты внутри чужого домена, - чаще всего это сервис Netlify (адреса вида *.netlify.app). Наконец, поддельные страницы входа хостируются на взломанных сайтах польских организаций. При этом злоумышленники не заменяют главную страницу ресурса, поэтому владельцы и обычные пользователи долгое время могут не замечать, что сайт скомпрометирован.

Цели атакующей группы чрезвычайно широки. В зону внимания попадают политики, публичные лица, руководители учреждений, исследователи, журналисты, сотрудники госадминистрации и правоохранительных органов. Атакуются также члены семей и близкие этих людей. Нередко группировка проводит кампании против профессиональных сообществ - например, переводчиков или судебных экспертов. Из-за метода угадывания адресов письма иногда приходят не тем, кому предназначались, но это не останавливает злоумышленников.

Снижение интенсивности атак на пользователей польских почтовых сервисов (Onet, WP, Interia) совсем не означает, что UNC1151 отказалась от них. Просто основное внимание сейчас направлено на Gmail. Для польских пользователей это серьёзный сигнал: даже двухфакторная аутентификация перестала быть надёжной защитой, если противник использует продвинутую фишинг-страницу, перехватывающую коды в реальном времени. Единственная видимая подсказка при переходе по ссылке - неверный домен в адресной строке браузера. Именно на него стоит обращать внимание в первую очередь.

Domains

• check-mail-verify.biz
• konta-24weryfikacja.netlify.app
• mailverify.digital
• monitoring-google-konta.netlify.app
• service-auth.netlify.app
• verify-check.digital

Emails

• mailersupport24@gmail.com
• mailnotify24@gmail.com
• monitoring.konta@gmail.com
• naruszen.detekcja@gmail.com
• serwis.pomoc.techniczna@gmail.com
• support.security.inf@gmail.com
• walidacjagrupapocztowa@gmail.com