Главная страница » Индикаторы компрометации
0
11 часов
Индикаторы компрометации

Новая схема фишинга обходит двухфакторную аутентификацию через копирование токенов из кэша браузера

phishing

В сфере кибербезопасности зафиксирована новая изощренная кампания фишинга, нацеленная на создателей контента в социальных сетях. Злоумышленники используют оригинальную технику, позволяющую обойти даже двухфакторную аутентификацию (MFA). Вместо кражи логинов и паролей, атака фокусируется на хищении аутентификационных токенов напрямую из кэша браузера жертвы. Активность данной кампании отслеживается экспертами как минимум с сентября 2025 года.

Описание

Как и многие современные атаки, эта схема начинается с социальной инженерии. Злоумышленники рассылают сообщения, в которых утверждают, что получатель имеет право на бесплатный "верифицированный" значок (синюю галочку) на своей странице в соцсети. Такое предложение особенно привлекательно для блогеров и инфлюенсеров, для которых официальный статус имеет большое значение. Для повышения правдоподобия фишинговые страницы маскируются под системы проверки пользователей.

Одной из отличительных черт этой кампании является активное использование методов обхода автоматических систем защиты. Чтобы скрыть вредоносный контент от веб-краулеров и сканеров безопасности, злоумышленники размещают его не сразу. Сначала пользователь попадает на страницу так называемой "человеческой проверки" (human verification), которая имитирует стандартный капчей. Только после её прохождения жертва перенаправляется на настоящую фишинговую страницу. Этот прием серьезно затрудняет автоматическое обнаружение угрозы.

Основной механизм атаки принципиально отличается от традиционного фишинга. На странице жертве демонстрируется видеоинструкция. В ней подробно объясняется, как открыть инструменты разработчика в браузере, найти раздел, отвечающий за cookies или локальное хранилище, и скопировать оттуда данные аутентификационных токенов. Эти токены представляют собой цифровые ключи, которые браузер автоматически отправляет серверу соцсети для подтверждения уже выполненного входа, избавляя пользователя от необходимости каждый раз вводить пароль.

Далее пользователю предлагается вставить скопированный фрагмент данных в специальную всплывающую форму на той же странице, якобы для завершения "верификации". Фактически, эта форма является интерфейсом для отправки украденных токенов на серверы злоумышленников. Получив валидный токен, киберпреступники получают возможность имперсонировать жертву, подключаясь к её аккаунту из своего местоположения. Поскольку токен подтверждает уже установленную сессию, системы MFA, требующие ввода кода из SMS или приложения, в этом случае не срабатывают.

В финале видеоинструкции содержится особенно коварный совет. Пользователя настоятельно просят "не выходить из аккаунта как минимум 24 часа", чтобы "процесс верификации завершился успешно". На самом деле, эта просьба направлена на то, чтобы украденные аутентификационные токены оставались действительными как можно дольше, давая злоумышленникам расширенное окно для доступа к аккаунту и совершения вредоносных действий.

Эксперты отмечают, что инфраструктура для этой атаки построена с использованием разнообразных публичных платформ для веб-хостинга. Такая тактика позволяет злоумышленникам быстро разворачивать и так же быстро сносить фишинговые страницы, затрудняя их блокировку по IP-адресам или доменным именам. Угроза остается актуальной и требует от пользователей повышенной бдительности. Специалисты по безопасности рекомендуют никогда не следовать инструкциям, требующим копирования данных из инструментов разработчика браузера или cookie-файлов, и всегда проверять официальные каналы связи соцсетей для подтверждения любых предложений о верификации.

Индикаторы компрометации

Domains

  • 1-free-reward.netlify.app
  • activation-form.vercel.app
  • appeals.neocities.org
  • applyfor-bluebadge.vercel.app
  • apply-get-badge.org
  • apply-get-tick.netlify.app
  • badge-apply-free.surge.sh
  • chatbot.pagehelppro.xyz
  • click-here-a.netlify.app
  • collact-reward.netlify.app
  • fb-badge-reward.netlify.app
  • fb-terms.vercel.app
  • file-panel.netlify.app
  • fil-here.netlify.app
  • free-blue-tick-get-now.org
  • free-get-badge.netlify.app
  • free-get-reward.netlify.app
  • free-reward-m.netlify.app
  • free-rewards-h.wasmer.app
  • free-verifications.netlify.app
  • getbadge-case2343531.online
  • get-blue-badge1066843.vercel.app
  • get-blue-program.vercel.app
  • get-permanent-badge.org
  • inf0-applying-center.vercel.app
  • lifetime-free-blue-page-f.surge.sh
  • now-blue-tick-get-free.vercel.app
  • request-for-review-remove-here.wasmer.app
  • tick-badge-approval.surge.sh
  • tick-trust-verify.surge.sh
  • yingvera12345.github.io
Комментарии: 0
Похожие записи
0
13.06.2025
Индикаторы компрометации

Крупная кампания JSFireTruck: злоумышленники используют JSF*ck для скрытого перенаправления пользователей на вредоносные сайты

information security
Palo Alto Networks обнаружила масштабную кампанию, в рамках которой злоумышленники внедряют обфусцированный JavaScript-код на легитимные веб-сайты. Целью атаки является скрытое перенаправление пользователей
0
17.10.2025
Индикаторы компрометации

Фантомная угроза: как многоступенчатые фишинговые атаки доставляют инфостилеры через скрытые методы

information security
Исследователи Unit 42 компании Palo Alto Networks обнаружили масштабные фишинговые кампании, использующие многоступенчатую цепочку заражения для доставки программ-похитителей информации.
0
01.08.2025
Индикаторы компрометации

Эксплойты ToolShell стали инструментом для масштабного распространения вымогателя 4l4md4r: новая волна кибератак угрожает корпоративным сетям

ransomware
Группа неизвестных злоумышленников активно использует набор эксплойтов для распространения нового семейства вредоносного ПО - вымогателя 4l4md4r. Об этом свидетельствуют данные, опубликованного Palo Alto Networks.