Эксперты по кибербезопасности из Palo Alto Networks сообщают о масштабной и продолжающей развитии фишинговой кампании, нацеленной исключительно на японскоязычную аудиторию. С апреля 2025 года злоумышленники рассылают тщательно продуманные поддельные письма, маскирующиеся под уведомления от крупнейших японских компаний, включая Amazon, Apple, Japan Airlines, Mitsubishi UFJ Bank и другие известные бренды. Основная цель атаки - кража учетных данных и другой конфиденциальной информации пользователей.
Описание
Кампания, отслеживаемая под названием japan_phishcloak, демонстрирует высокий уровень технической изощренности. Письма искусно имитируют официальные уведомления о безопасности или поддельные подтверждения покупок. Вначале злоумышленники использовали URL-адреса, перенаправлявшие жертв на фальшивые страницы с CAPTCHA от имени Amazon, предназначенные для перехвата логинов и паролей. К августу 2025 года тактика эволюционировала: в письмах стали появляться ссылки, использующие формат jump.gdblmc[.]com/RAIMyn?www.amazon[.]co[.]jp/ap/signin, которые в конечном итоге перенаправляли на фишинговые лендинги, умело маскирующие свой домен под официальный сайт Amazon (например, www.amazon[.]co[.]jp.gearheinz[.]com/ap/signin).
Особенностью кампании стало активное использование техник сокрытия (cloaking). Финальные страницы настроены таким образом, что при автоматическом сканировании или проверке они возвращают ошибку 404, что значительно затрудняет их обнаружение системами безопасности. Это указывает на продуманный подход атакующих к обходу традиционных средств защиты. В сентябре 2025 года аналитики зафиксировали новую волну, в которой использовалось два типа URL. Первый тип содержал параметры, точно имитирующие настоящие веб-адреса Amazon, такие как /ap/signin/openid/net2F. При загрузке таких страниц выполнялись JavaScript-вызовы к API, которые также возвращали ошибки 404, что, вероятно, является частью механизма проверки и сокрытия.
Второй тип ссылок использовал опечатанные домены (typosquatting), например, secure.oamzon[.]co[.]jp.<DOMAIN>[.]<TLD>, где слово "amazon" намеренно написано с ошибкой как "oamzon". Это классический метод, рассчитанный на невнимательность пользователей. Отправители таких писем указывали в имени "Amazon.co.jp", однако реальные адреса электронной почты принадлежали совершенно другим доменам, таким как Amazon.yumoka3@rflt[.]com. Это создает ложное ощущение легитимности.
Для рассылки писем злоумышленники используют широкий спектр доменов, зарегистрированных в разные периоды времени, с различными доменными зонами верхнего уровня (TLD), включая .com, .net, .jp, .co.id и .cn. Это усложняет блокировку кампании по формальным признакам. Атака не ограничивается имитацией только Amazon. Аналитики обнаружили фишинговые письма, маскирующиеся под технологические компании, авиаперевозчиков, а также банковские и инвестиционные учреждения, включая Apple, Mitsubishi UFJ Bank, Sumitomo Mitsui Card Co, Japan Airlines (JAL) и ANA Airlines.
Индикаторы компрометации
IPv4
- 43.165.185.55
- 47.79.145.68
- 47.79.150.163
URLs
- 78jn0dq.cn/puvxrokt
- a8wcinm.cn/puvxrokt
- drsxsz.cn/puvxrokt
- e-t-c-meisai3.an4yu.cyou/wfuucigy
- fhrkn.cn/koljin/tep/direct/loging/shink=A4MzY
- jump.smxxns.com/jloxWv?hxxps://www.ana.co.jp/ja/jp/
- ksh3c3n.cn/signIn/account/ssi=
- mqccf.cn/puvxrokt
- track.darack.com/zX440m?www.jal.com//up
Domains
- secure.oamzon.co.jp.icatlar.net
- secure.oamzon.co.jp.ideeco.net
- secure.oamzon.co.jp.ispol.net
- secure.oamzon.co.jp.itbdqn.net
- secure.oamzon.co.jp.jiahongdiban.com
- secure.oamzon.co.jp.kamicop.net
- secure.oamzon.co.jp.largessemedia.com
- secure.oamzon.co.jp.leaderga.com
- secure.oamzon.co.jp.linefilm.net
- secure.oamzon.co.jp.lmsconsult.net
