Специалисты по кибербезопасности обнаружили целенаправленную фишинговую кампанию, нацеленную на соискателей работы. Злоумышленники рассылают письма, маскирующиеся под официальные сообщения от рекрутеров Google Careers, чтобы выманить у жертв учетные данные Gmail. Атака использует многоступенчатую схему с привлечением инфраструктуры Salesforce, защищенных серверов Cloudflare и механизмов управления через WebSocket для скрытого сбора конфиденциальной информации.
Описание
Фишинговые письма поступают с поддельного поддомена Salesforce и содержат темы, предлагающие эксклюзивные карьерные возможности в Google. В теле письма находится кнопка «View the role», ведущая на IP-адрес 13.110.204.9, который ассоциирован с сетью Salesforce. После перехода пользователи перенаправляются на поддельный портал Google Careers по адресу apply[.]grecruitingwise[.]com, размещенный на IP-адресе 104.21.47.163, принадлежащем Cloudflare. Несмотря на использование защиты в виде капчи, сайт является фиктивным и предназначен для сбора персональных данных и логинов.
При переходе по ссылке пользователи сначала видят страницу с запросом личных данных, включая полное имя, номер телефона и адрес проживания. Введенная информация отправляется через HTTP POST на домен satoshicommands[.]com, связанный с бэкенд-инфраструктурой злоумышленников. Затем пользователи перенаправляются на страницу, имитирующую форму входа в Google, где требуется ввести адрес электронной почты и пароль от Gmail.
На техническом уровне мошеннический портал загружает модифицированную версию скрипта main.js, которая устанавливает постоянное WebSocket-соединение с hxxps://satoshicommands.com/ и отправляет AJAX-запросы на сервер каждые две секунды через /gw.php. Сервер отвечает командами, такими как «EMAIL», «AUTH» или «SUCCESS», направляя жертв через последующие этапы: ввод одноразового пароля, верификацию телефона или запросы многофакторной аутентификации. После ввода учетных данных пользователи видят страницу «Processing your request», после чего незаметно перенаправляются, не подозревая о компрометации.
Открытые источники показывают, что аналогичные кампании фиксировались на протяжении нескольких месяцев. Пострадавшие сообщали о похожих письмах в тематических ветках Reddit, а анализ на URLScan.io подтвердил использование тех же доменов. Среди дополнительных вредоносных хостов обнаружены apply[.]grecruitdigital[.]com, apply[.]grecruitbridge[.]com и т.д..
Использование вариантов атаки через субдомены платформы Vercel, такие как puma-remotejobcenter[.]vercel[.]app, hire[.]gtalenttrack[.]com и moburst-check[.]vercel[.]app, указывает на то, что злоумышленники динамически генерируют фишинговые сайты для уклонения от блокировок. Это усложняет обнаружение и снижает эффективность своевременного удаления вредоносных ресурсов.
Организациям и частным пользователям рекомендуется сохранять бдительность при получении непредусмотренных писем от рекрутеров. Проверка включает в себя тщательный анализ домена отправителя и подтверждение официальных URL-адресов на корпоративных страницах карьерных возможностей. Следует наводить курсор на ссылки, не нажимая на них, для проверки целевого хоста. Не рекомендуется вводить учетные данные на сайтах, защищенных капчей, если пользователь не запрашивал ее явно. Также важно активировать двухфакторную аутентификацию в Gmail и отслеживать неожиданные попытки входа.
Сетевые защитники могут блокировать известные вредоносные домены на уровне DNS и использовать решения для фильтрации электронной почты, чтобы помечать поддельные поддомены Salesforce. Регулярный обмен информацией об угрозах и применение правил блокировки индикаторов компрометации, включая перечисленные домены и IP-адреса, помогут снизить риски от этой развивающейся угрозы.
Поскольку фишинговые тактики становятся все более убедительными за счет эксплуатации доверенных брендов и надежной инфраструктуры, командам кибербезопасности необходимо поддерживать многоуровневую защиту и проводить обучение пользователей для предотвращения атак на кражу учетных данных при первом же клике.
Индикаторы компрометации
Domains
- apply.gcandidatespath.com
- apply.gcareercandidates.com
- apply.ghiringpathway.com
- apply.ghiringscout.com
- apply.grecruitbridge.com
- apply.grecruitdigital.com
- apply.grecruitingbridge.com
- apply.grecruitinglink.com
- apply.grecruitingportal.com
- apply.grecruitingwise.com
- apply.grecruitpro.com
- apply.gstafftalent.com
- apply.gtalentmatcher.com
- cl.s12.exct.net
- gcandidatespath.com
- getintouchwithcareers.com
- grecruitinglink.com
- gteamhirehub.com
- gteamlineup.com
- hire.gapplyjobs.com
- hire.gtalentpathway.com
- hire.gtalenttrack.com
- hire.gteamhirehub.com
- hire.gteamjobspot.com
- hire.gteamlineup.com
- join.meetrecruitingproject.info
- moburst-check.vercel.app
- puma-remotejobcenter.vercel.app
- puma-virtual-positions.vercel.app
- recruit.gapplyhr.com
- robert-half-hiring-marketing-remotl.vercel.app
- satoshicommands.com
- start.joinoursuiteteam.com
Emails
- reply-ff2913777d64-449_HTML-1463564-534018293-0@s12.y.mc.salesforce.com
