Исследователи Proofpoint обнаружили масштабную фишинговую кампанию, нацеленную на японские организации с использованием сложного набора инструментов CoGUI. Злоумышленники активно имитируют известные бренды, включая Amazon, PayPay и Rakuten, чтобы похитить учетные данные и платежную информацию пользователей.
Описание
Набор CoGUI демонстрирует высокий уровень изощренности, применяя передовые методы уклонения от обнаружения, такие как геотаргетинг, проверка заголовков и фингерпринтинг браузера. Эти технологии позволяют атаке эффективно обходить системы безопасности, представляя серьезную угрозу для организаций в Японии.
С декабря 2024 года исследователи Proofpoint зафиксировали около 50 кампаний ежемесячно, с общим объемом сообщений, достигающим 172 миллионов в январе 2025 года. Большинство атак имитируют сервисы Amazon, однако также замечены поддельные сообщения от платежных систем, банков, ритейлеров и даже национальной налоговой службы Японии.
Особенностью CoGUI является отсутствие функционала для сбора данных многофакторной аутентификации (MFA), что необычно для современных фишинговых наборов. Анализ показывает, что злоумышленники в первую очередь стремятся получить доступ к учетным записям для финансовых махинаций, включая покупку китайских акций.
Технический анализ выявил сходства между CoGUI и другим фишинговым набором Darcula, используемым в SMS-мошенничестве с дорожными сборами. Оба инструмента применяют схожие методы профилирования жертв и содержат китайскоязычные элементы в коде. Однако исследователи пришли к выводу, что эти наборы используются разными группами китаеязычных киберпреступников.
Индикаторы компрометации
URLs
- https://etcady.xin/pay/
- https://evrryday.com/paypay-login-ne-jp
- https://ezdrivema.com-kpy.win/I/
- https://kzongfd.bo5wfb0f9.top/Kfade
- https://sunpass.com-tyjr.cc/pay/
- https://uhlkg.cn/HJmOkggh
- https://zjkso.cn/QJSmxXOQ/
