Специалисты AhnLab Security Emergency response Center (ASEC) недавно выявили случаи распространения в качестве вложений в электронные письма множества файлов фишинговых сценариев, замаскированных под экраны просмотра PDF-документов.
В качестве фона использовано размытое изображение содержимого документа. При запуске прикрепленного HTML-файла на экран выводится сообщение с текстом "Для просмотра документа войдите в систему, указав пароль вашей электронной почты". Под полем для ввода пароля расположено сообщение, предупреждающее о том, что использование неправильного пароля может привести к потере доступа к файлу. Так как файл сделан таким образом, чтобы казаться настоящим PDF-файлом, пользователям следует проявлять особую осторожность.
По тому, как меняется сообщение в зависимости от количества вводимых пользователем паролей, можно судить о том, что файл сравнительно хорошо сделан для обмана пользователей. Реакция отличается при нажатии на кнопку входа в систему без ввода пароля и в зависимости от количества нажатий на кнопку входа (1-3 раза) после ввода значения. При нажатии на кнопку входа в систему без ввода значения выдается сообщение "Невозможно найти подходящую информацию для входа в систему". При первом нажатии на кнопку входа в систему после ввода значения в поле пароля выдается сообщение "Please enter the correct password", при повторном нажатии - "The password you entered is incorrect".
Примечательно, что при трехкратной попытке входа в систему пользователь перенаправляется на страницу загрузки рекламного PDF-файла, предоставленного корейской ERP-компанией. Это сделано для того, чтобы пользователь не заметил, что файл является фишинговым, поскольку используется обычный PDF-файл, доступный всем желающим. Существуют не только скрипты, перенаправляющие на вышеупомянутый сайт, но и скрипты, перенаправляющие пользователя на сайт, содержащий обычный файл-изображение, не имеющий вредоносных функций.
Код скрипта содержит различные тексты, выводимые на экран в зависимости от количества попыток входа в систему: #password__empty (при попытке входа с пустым полем пароля) / #password__incorrect (одна попытка входа) / #password__incorrect1 (две попытки входа). Также имеется код (красная рамка), использующий параметр window.location.href для перенаправления пользователя на URL, содержащий обычный PDF-файл, когда событие щелчка происходит три раза.
Сообщения могут передаваться через Telegram, для чего необходимы Bot Token и Chat ID. Функция sendTeleMsg. Она содержит функции отправки адреса электронной почты получателя, пароля, введенного пользователем, и IP-адреса пользователя в чат, созданный угрожающим агентом через Telegram API. Поскольку в качестве IP-объекта используется открытый источник (json.geoiplookup.io), можно получить не только IP-адрес, но и информацию об интернет-провайдере, а также географическую информацию, включая долготу и широту.
Предполагается, что злоумышленник использует Telegram для своих фишинговых атак из-за его известных преимуществ - анонимности и логики шифрования. Использование API обычного приложения рассматривается как попытка обойти обнаружение антивирусными продуктами, поскольку обычные домены могут быть заблокированы при обнаружении вредоносного кода. Случаи использования API Telegram для взлома учетных записей пользователей периодически происходили и в прошлом. Однако последние случаи характерны тем, что элементы для обмана пользователей прорабатываются более тщательно, в том числе в коде используются обычные общедоступные сайты. Пользователям следует соблюдать осторожность и не вводить учетные данные во вложениях в письмах от неизвестных источников.
Indicators of Compromise
MD5
- 94ebd0b12c95f5072561676985b1dbe5
