Киберпреступники атакуют пользователей с помощью фишинга через «Browser-in-the-Middle»

Кампания начинается с рассылки фишинговых писем, маскирующихся под уведомления о нарушении авторских прав. Эти письма содержат ссылки, которые ведут жертву по цепочке перенаправлений, кульминацией которой становится страница с техникой BitM. Аналитики отмечают вариативность цепочки: в некоторых случаях, например в письме от 19 апреля 2025 года, ссылка вела напрямую на страницу с «браузером-посредником», минуя промежуточные этапы.

Суть техники BitM заключается в создании злоумышленниками поддельного окна браузера, которое открывается поверх или внутри легитимного окна браузера пользователя. Это фальшивое окно отображает настоящий URL-адрес, например, страницы входа в Facebook*, однако всё его содержимое контролируется злоумышленниками. Цель - заставить пользователя ввести свои учётные данные, которые напрямую передаются киберпреступникам.

В данной кампании механизм обмана реализован особенно хитро. После перехода по ссылке из письма пользователь попадает на фишинговую страницу с тематикой Meta*, где ему предлагается пройти проверку CAPTCHA, нажав на кнопку «Я не робот». Именно это действие инициирует появление поддельного браузерного окна с формой для входа в Facebook*. Поскольку в адресной строке этого окна отображается корректный адрес facebook.com*, у большинства пользователей не возникает подозрений.

Особенностью кампании является её изменчивость. Злоумышленники регулярно меняют доменные имена, на которых размещаются страницы с BitM. Это означает, что одна и та же ссылка из фишингового письма может вести на разные ресурсы от недели к неделе, что затрудняет блокировку и обнаружение мошеннических страниц с помощью статических сигнатур. Постоянное появление новых доменов и URL-адресов подтверждает, что кампания остаётся активной.

Эксперты подчёркивают, что подобные изощрённые методы представляют серьёзную угрозу, поскольку они эксплуатируют базовое доверие пользователей к адресной строке браузера. Традиционные фишинговые страницы часто выдают себя несовпадением URL, но в случае с BitM этот ключевой индикатор отсутствует. Для защиты специалисты рекомендуют проявлять повышенную бдительность при получении неожиданных писем, особенно с требованиями каких-либо действий. Не следует переходить по ссылкам из таких сообщений. Вместо этого необходимо напрямую, через закладку или официальное приложение, заходить на нужный сайт для проверки уведомлений. Также крайне важно использовать многофакторную аутентификацию, которая даже в случае компрометации логина и пароля может заблокировать несанкционированный доступ к аккаунту.

Обнаружение этой кампании в апреле 2025 года свидетельствует о том, что киберпреступники продолжают развивать тактики социальной инженерии, делая их всё более изощрёнными и трудными для распознавания. Организациям и частным пользователям необходимо постоянно повышать свою осведомлённость о киберугрозах и внедрять комплексные меры безопасности.

* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

Domains

• anmanianer412.com
• antibot-meta.com
• antibotverify.com
• apicaptcha-meta.com
• apicaptcha-metahorizon.com
• apicaptcha-metaquest.com
• app.vericapcha-metacrescent.org
• app.vericapcha-metahoriapp.org
• app.vericapcha-metahorizonfb.org
• app.vericapcha-metahunched.org
• app.vericapcha-metaresults.com
• app.vericaptchas-matamore.xyz
• app.vericaptchas-metahorizon.xyz
• authapi-meta.com
• authcaptcha-meta.com
• authen-bot.com
• authen-meta.com
• authen-metaquest.com
• authent-metacloud.com
• authgate-meta.com
• authmeta.biz
• authmeta.pro
• authmeta.top
• auth-meta.top
• authmeta1.top
• authmeta12.top
• authnet-hyperhorizon.net
• authrecaptcha-meta.com
• authz-api.my
• authz-meta.com
• autobypass-meta.com
• autocaptcha-meta.com
• bot-blocker.com
• botcaptcha-meta.com
• botdetectcaptcha.com
• bot-meta.com
• bot-secure.com
• botverifyanalytics.com
• businesshorizon.net
• business-meta.com
• bypasscaptcha-meta.com
• bypass-meta.com
• capcha-metaquest.com
• capchametasite125.icu
• captcha-app-login.com
• captchabot-meta.com
• captcha-confirm.live
• captcha-facebook.com
• captcha-human.com
• captcha-login-website.com
• captcha-meta.com
• captcha-meta.org
• captcha-metacloud.com
• captcha-metacloudl.com
• captcha-metacloudn.com
• captcha-metahorizon.com
• captcha-meta-login.com
• captcha-metaquest.com
• captchasure-meta.com
• certify-meta.com
• clearcapcha.com
• confirm.botrecaptcha-metaquest.com
• confirm.captcha-metalogin.com
• confirm.human-metaquest.com
• confirm.login-metacloud.com
• confirm.notcaptcha-metaquest.com
• confirm.recaptcha-metacloud.com
• confirm.robotcaptcha-metaquest.com
• confirm-meta.com
• confirm-recaptcha.com
• confirm-recaptcha.live
• confrim-captcha.com
• copyright-businessfacebok.com
• copyright-videofb.com
• firewall-meta.com
• gateverify-meta.com
• guard-meta.com
• kareyphatameta12.top
• loginmeta234.top
• login-metaquest.com
• loginmetastar12.top
• loginpage-meta.com
• mb-meta.com
• meta-captcha.com
• metahagrandview12.top
• metahozion12.top
• metahozion12homes.top
• metahozzizon-12.top
• metaquest-captcha.com
• ncaptcha-meta.com
• nobotverify.com
• nocapcha-meta.com
• nocaptcha-meta.com
• nocaptcha-metacloud.com
• nocaptcha-metaquest.com
• norobot-meta.com
• norotbot-meta.com
• not-capcha.com
• notcaptcha-meta.com
• notcaptcha-metacloud.com
• notcaptcha-metahorizon.com
• notcaptcha-metaquest.com
• notrobot-metahorizon.com
• noverify-bot.com
• oauth.recaptcha-metacloud.com
• oauth2-verify.com
• oauthcaptcha-metaquest.com
• outh.captcha-metalogin.com
• rcaptcha-meta.com
• recaptcha.accountscenter-metaquest.com
• recaptcha.confirm-metaquest.com
• recaptcha.login-businessfacebook.com
• recaptcha.login-metaquest.com
• recaptcha.robot-metalogin.com
• recaptcha-businessfacebook.com
• recaptcha-confirm.com
• recaptcha-confirm.live
• recaptcha-human.com
• recaptcha-login.com
• recaptcha-meta.org
• recaptcha-metacloud.com
• recaptcha-metahorizon.com
• recaptcha-metahorizon.org
• recaptcha-metaquest.com
• recaptchav2-meta.com
• report-businessfacebok.com
• report-copyright-metaplanet.com
• report-copyright-metaplanet.net
• report-media-content.com
• robotapi-meta.com
• robotcaptcha-meta.com
• robot-metaquest.com
• rotbotath-meta.com
• safehumancheck.com
• secureverifybot.com
• shield-meta.com
• smartcaptcha-meta.com
• suite-meta.com
• supportmeta-horizon.net
• supportmeta-horizonusa.org
• thealaska.info
• thelinkedup123.top
• thespirup123.top
• validate-api.com
• valid-meta.com
• vericaptcha-businessfacebook.com
• vericaptcha-metahorizon.eu
• vericaptcha-metahorizon.net
• vericaptcha-metahorizon.org
• vericaptcha-metahorizonau.org
• vericaptcha-metahorizonca.org
• vericaptcha-metahorizonfb.net
• vericaptcha-metahorizonfb.org
• vericaptcha-metahorizonit.org
• vericaptcha-metahorizonsa.org
• vericaptcha-metahorizonus.org
• vericaptcha-metahorizonusa.org
• veri-facebook.com
• verifier-meta.com
• verify.captcha-metalogin.com
• verify.recaptcha-metacloud.com
• verify.recaptcha-metalogin.com
• verify-bot.com
• verify-captcha.pages.dev
• verifycaptcha-businessfacebook.com
• verifycaptcha-meta.com
• verify-facebook.com
• verifyhuman-meta.com
• verify-meta.com
• verycapcha.com
• very-capcha.com
• verycaptcha.com
• very-captcha.com
• veryfy-recaptcha.com

URLs

• https://0wtsid.short.gy/8OfS3G
• https://162.245.238.224/
• https://481g2g.short.gy/JSHTu8
• https://481g2g.short.gy/WevH0X
• https://481g2g.short.gy/zQmPm8
• https://ananmajsna.com/
• https://cammeorio2.xyz/
• https://capchametahozion-12.top/
• https://capchametasite125.icu/two_stepz_verytfications/authentication
• https://captcha-metacloudm.com/two_step_verification/authentication
• https://chickenkentou12.pics/
• https://chickenkentou12.top/
• https://chickken.top/
• https://chickken1.top/
• https://cunharamos123.com/
• https://deextq.short.gy/ELK5GG
• https://habanacuba83s.info/
• https://loanch46.short.gy/a38
• https://lYNFdb.short.gy/PInYEM
• https://roadmaps12.com/
• https://thuramkia123.com/