Главная страница » Индикаторы компрометации
0
22 часа
Индикаторы компрометации

Мошенники пугают пользователей переполнением облачного хранилища: фишинговая кампания нацелена на продажу антивирусов и VPN

phishing

Эксперты компании Palo Alto Networks выявили новую волну фишинговых писем, которые играют на страхе пользователей потерять данные. Злоумышленники рассылают сообщения, внешне похожие на уведомления от облачных сервисов. Жертву предупреждают о скором превышении лимита хранилища и угрожают необратимым удалением файлов. На деле же переход по ссылкам из письма ведёт не на настоящую панель управления, а на лендинги, где пользователю настойчиво предлагают купить антивирус или подключить VPN.

Описание

Атака рассчитана на широкую аудиторию - от сотрудников небольших компаний до частных лиц. Метод социальной инженерии здесь стандартный, но реализован он с непривычной для фишинга детализацией. Вместо кражи паролей или установки вредоносного кода мошенники преследуют коммерческую цель: заставить человека оплатить услуги, которые ему на самом деле не нужны.

Что происходит на самом деле

Письма приходят с адресов, зарегистрированных на платформе Firebaseapp. В имени отправителя почти всегда присутствует слово noreply. Тема письма строится вокруг фраз вроде "Облачное хранилище переполнено", "Предупреждение о безвозвратной потере данных" или "Облачные службы отключены". Создаётся ощущение, что проблема требует немедленного вмешательства. Для усиления эффекта используются красные метки, восклицательные знаки и угрозы отключения учётной записи в ближайшие часы.

Внутри письма находится ссылка, которая часто сокращена через сервисы коротких ссылок. После перехода пользователь попадает на цепочку редиректов. Конечный сайт внешне копирует интерфейс популярных облачных платформ: Google Drive, OneDrive, Dropbox или iCloud. Исследователи Palo Alto Networks обнаружили, что поддельные страницы выполнены с высокой степенью реализма. На них даже искусственно наложен водяной знак "Активируйте Windows", чтобы имитировать вид экрана операционной системы, если пользователь работает на устройстве с нелицензионной версией Windows.

Особый упор сделан на всплывающие окна. Они имитируют системные диалоги: предупреждения о нехватке места, ошибки синхронизации, рекомендации немедленно очистить кэш. Хотя все эти окна - часть веб-страницы, они занимают почти весь экран. Для неподготовленного человека отличить их от настоящего интерфейса Windows или macOS практически невозможно.

Куда ведёт пользователя эта воронка

Если жертва поддаётся панике и нажимает на кнопку "Освободить место" или "Восстановить доступ", её перенаправляют на сайты, где предлагают купить лицензию антивирусного программного обеспечения или оформить подписку на VPN-сервис. Примеры таких продуктов в отчёте не раскрываются, но, по всей видимости, злоумышленники работают по партнёрским программам и получают комиссию за каждую продажу.

Важно подчеркнуть, что никакого вредоносного кода на этих страницах нет. Атака построена исключительно на социальной инженерии. Пользователя не просят ввести логин и пароль от облачного хранилища, не пытаются украсть данные банковской карты напрямую. Его просто заставляют добровольно купить продукт, который он, скорее всего, не планировал приобретать.

Тем не менее риски нельзя назвать нулевыми. Если жертва вводит на фишинговой странице свои учётные данные (например, от того же облачного сервиса), то мошенники получают к ним доступ. Кроме того, переход по редиректам через неизвестные домены может быть использован для сбора цифрового отпечатка браузера или перенаправления на более опасные сайты в будущем.

Почему эта кампания выделяется на фоне других

Фишинг с имитацией облачных хранилищ - не новость. Однако обычно злоумышленники пытаются украсть пароль или установить программу-вымогатель (ransomware). Здесь же авторы пошли по другому пути. Они не экономят на деталях: подделывают не только внешний вид страницы, но и системные элементы интерфейса. Например, на странице может быть кнопка "Проверить наличие вирусов", которая при нажатии запускает анимацию сканирования и затем выводит сообщение о "найденных угрозах" - с предложением скачать антивирус для их устранения.

Этот приём известен как "техподдержка-мошенничество" (scareware). Раньше он был распространён на сайтах с пиратским контентом. Теперь же мошенники адаптировали его под корпоративную и частную почту, используя доверие к именитым облачным брендам. Кампания, судя по данным Palo Alto Networks, продолжается до сих пор. Письма приходят с новых адресов Firebaseapp, которые сложно блокировать превентивно.

Что делать специалистам и рядовым пользователям

Главный совет - не переходить по ссылкам из подобных писем. Любое уведомление от облачного сервиса лучше проверять напрямую: зайти на сайт провайдера через закладку браузера, а не через письмо. Также стоит обращать внимание на адрес отправителя. Firebaseapp - бесплатная платформа для хостинга веб-приложений, и легитимные облачные сервисы никогда не используют такие адреса для официальной рассылки.

Для сотрудников организаций полезно проводить тренировки по распознаванию фишинга. Если в письме есть угрозы удалить данные в ближайшие часы и ссылка ведёт на сторонний ресурс - это почти гарантированный признак мошенничества. Системы защиты почты могут отфильтровывать такие сообщения по шаблонам, но злоумышленники постоянно меняют домены и сокращают ссылки, поэтому полностью полагаться на автоматику не стоит.

Кампания, описанная исследователями, не представляет прямой угрозы для инфраструктуры. Однако она наглядно демонстрирует, как меняются методы социальной инженерии. Вместо сложных технических атак мошенники делают ставку на психологию и качество подделки. И, судя по всему, эта стратегия приносит результат: люди всё ещё доверяют интерфейсу, который выглядит "как настоящий".

Индикаторы компрометации

URLs

  • artificialoiltechno.com/5WHF7BW/27FR89RQ/?sub1=br5
  • artificialoiltechno.com/5WHF7BW/27KQBZNB/?sub1=br77
  • artificialoiltechno.com/5WHF7BW/27KQBZNB/?sub1=krm41
  • createnewai.com/4XXR4FF/27KQBZNB/?source_id=othe&sub1=C01&sub2=S1&sub3=3-8
  • homewattflow.za.com/bfzRSkXoQwL2cexujOb8hyhMTey4Zp3sDa8xXRTIxTgynEIF
  • homewattflow.za.com/iZuveeStmcREyyjOXnQDluZX19skW-dfGYXhfu43u87Meqs
  • homewattflow.za.com/oRng9xl0MaKWkEiNNavL_4D4WsZf5hVXRMU_e1NY4CYM597F
  • homewattflow.za.com/X2g1yMZ7mxBE2h2gtMA3IoRAmYIcfDqM9Rz4fkiCdTJU9Ac
  • is.gd/B4PSbB
  • is.gd/BlfHHN
  • is.gd/kBP9Am
  • is.gd/qCiiXyg
  • is.gd/Tsre2w
  • rebrand.ly/a0ylnkd
  • recentworkcode.com/4SQRKGX/27FR89RQ/?sub1=ouzzine1
  • recentworkcode.com/4SQRKGX/27FR89RQ/?sub1=sidiabdelaali
  • redirect-system-e5318.web.app/#/SFUrdUdVangyY1AvcSthK2tCZ1hWWmt0eE42Y3p0ZTVVUWZMUXR1QXB1NWZvdWlVTVpUdnN3ZUk4TTU4YmY1RUllSXpBNk43WUNqQ01SbUMxaER3bHc9PQ__
  • www.homewattflow.za.com/jghoujrvNz4D5WdL4Be3qWQPYNxYqry8q3ghFj1YbHtxlOBg
Комментарии: 0
Похожие записи
0
17.06.2025
Индикаторы компрометации

Масштабная фишинговая кампания под видом DMV: тысячи американцев стали жертвами мошенников из Китая

phishing
В мае 2025 года в США была зафиксирована крупная фишинговая кампания, в ходе которой злоумышленники выдавали себя за Департаменты транспортных средств (DMV) различных штатов.
0
19.06.2025
Индикаторы компрометации

Новая волна фишинга с угрозой Rhadamanthys Stealer захватывает Европу

Stealer
В последние недели киберпреступники активизировали фишинговую кампанию, нацеленную на страны Центральной и Восточной Европы, используя тему нарушения авторских прав для распространения вредоносного ПО Rhadamanthys Stealer.
0
21.08.2025
Индикаторы компрометации

Фишинг в облаке: кампания через SendGrid эксплуатирует доверие к сервисам электронной почты

phishing
Группа реагирования на фишинговые угрозы Cofense Phishing Defense Center (PDC) зафиксировала новую волну атак, нацеленных на кражу учетных данных пользователей через фишинговые письма, отправленные с использованием платформы SendGrid.