Киберпреступники выдают себя за платёжные, кадровые и социальные платформы для кражи информации и средств

phishing

Борьба с мошенничеством в Интернете — это непрерывное развитие, где команды безопасности и злоумышленники постоянно адаптируются. Недавние обнаружения ученых показывают новые уровни фишинговых атак, направленных на украдение данных пользователей платежных и зарплатных платформ.

Описание

В частности, обнаружена кампания фишинга, имитирующая платформу Deel, которая направлена не только на украденные данные, но и на мошенничество с банковскими переводами.

Исследование началось с обнаружения мошеннической поисковой рекламы Deel, в результате которой пользователи оказывались на фишинговом сайте. Кроме кражи данных пользователей, был обнаружен вредоносный код, способный выполнять скрытые действия без их ведома. Фишинговая кампания была выявлена в результате анализа трафика, показывающего использование легитимных хостинговых сервисов для манипуляции конфиденциальными данными.

Эксперты обнаружили уникальные компоненты фишингового набора, включая JavaScript-библиотеки и методы защиты от отладки. Обфускация кода делает процесс анализа более сложным, но расшифрованные файлы раскрывают использование легитимных библиотек и технологий для выполнения мошеннических операций. Действия фишеров включают аутентификацию через внешние сервисы, обход двухфакторной аутентификации и маскирование под официальные сайты.

Обнаружение фишинговой кампании привело к действиям по удалению вредоносной рекламы из поисковых результатов и информированию компаний о неправомочном использовании их платформ.

Индикаторы компрометации

Содержание
  1. Domains
  2. URLs
  3. SHA256

Domains

  • access-shupfify.com
  • account.datedeath.com
  • account.turnkeycashsite.com
  • accuont-app-deel.cc
  • admin-shoopiffy.com
  • admin-shopffy.cc
  • angelistt.com
  • app-parker.com
  • biilll.com
  • ctelllo.com
  • deel.za.com
  • founderga.com
  • justvvokrs-login.cc
  • login-biil.net
  • login-deel.app
  • maqreta.com
  • shluhify.com
  • virluaterminal.net
  • vye-starr.net

URLs

  • kel.js/otp.js/auth.js/jquery.js

SHA256

  • 0ef66087d8f23caf2c32cc43db010ffe66a1cd5977000077eda3a3ffce5fa65f
  • 15606c5cd0e536512a574c508bd8a4707aace9e980ab4016ce84acabed0ad3be
  • 1665387c632391e26e1606269fb3c4ddbdf30300fa3e84977b5974597c116871
  • 3e4e78a3e1c6a336b17d8aed01489ab09425b60a761ff86f46ab08bfcf421eac
  • 56755aaba6da17a9f398c3659237d365c52d7d8f0af9ea9ccde82c11d5cf063f
  • 5dadc559f2fb3cff1588b262deb551f96ff4f4fc05cd3b32f065f535570629c3
  • 6fb006ecc8b74e9e90d954fa139606b44098fc3305b68dcdf18c5b71a7b5e80f
  • 72864bd09c09fe95360eda8951c5ea190fbb3d3ff4424837edf55452db9b36fb
  • 81bcf866bd94d723e50ce791cea61b291e1f120f3fc084dc28cbe087b6602573
  • 908a128f47b7f34417053952020d8bbdacf3aed1a1fcf4981359e6217b7317c9
  • 95d008f7f6f6f5e3a8e0961480f0f7a213fa7884b824950fe9fb9e40d918a164
  • a37463862628876cecfc4f55c712f79a150cdc6ae3cf2491a39cc66dadcf81eb
  • c56e277fd98fc2c28f85566d658e28a19759963c72a0f94f82630d6365e62c4f
Комментарии: 0