Главная страница » IOC
0
5 месяцев
IOC

SilkSpecter APT IOCs

phishing

Исследователи из EclecticIQ обнаружили фишинговую кампанию, направленную на покупателей электронной коммерции в Европе и США, за которой, вероятно, стоит китайский злоумышленник SilkSpecter, имеющий финансовую мотивацию.

SilkSpecter APT

В октябре 2024 года SilkSpecter запустила фишинговую операцию, используя популярность распродаж «Черная пятница», заманивая жертв поддельными товарами со скидками для сбора данных держателей карт (CHD), чувствительных аутентификационных данных (SAD) и персонально идентифицируемой информации (PII). Группа использовала легитимный платежный процессор Stripe для создания видимости подлинности транзакций, при этом скрытно переправляя конфиденциальную информацию на контролируемые злоумышленниками серверы.

SilkSpecter повысила доверие к своим фишинговым сайтам, используя Google Translate для адаптации языка сайта в зависимости от IP-адреса жертвы. Фишинговый набор кампании отслеживал взаимодействие посетителей с помощью таких инструментов, как OpenReplay, TikTok Pixel и Meta Pixel, что позволяло злоумышленникам анализировать вовлеченность и эффективность. Инфраструктура в значительной степени опиралась на китайские хостинговые ресурсы, включая SaaS-платформу oemapps, что позволило SilkSpecter быстро создавать и управлять поддельными сайтами электронной коммерции, используя такие домены, как .top, .shop, .store и .vip, чтобы выдавать себя за легитимные бренды. В число выдаваемых за реальность брендов входят North Face, L.L. Bean, Makita, Wayfair и Ikea.

EclecticIQ обнаружил доказательства того, что фишинговые кампании SilkSpecter распространялись через социальные сети и отравленные SEO результаты поиска. Приписывание этой кампании SilkSpecter подтверждается такими факторами, как комментарии к коду на мандаринском языке, серверы, размещенные на китайском языке, и предпочтение китайских регистраторов доменов. Эта кампания демонстрирует способность SilkSpecter использовать легитимные платформы, такие как Stripe, и при этом эффективно скрывать свои операции за правдоподобно выглядящими фронтами электронной коммерции.

Indicators of Compromise

Domains

  • bbw-blackfriday.shop
  • blackfriday-shoe.top
  • dopeblackfriday.shop
  • eu-blochdance.shop
  • gardena-eu.com
  • ikea-euonline.com
  • lidl-blackfriday-eu.shop
  • llbeanblackfridays.shop
  • makitablackfriday.shop
  • northfaceblackfriday.shop
  • wayfareblackfriday.com

SHA256

  • 587b05cd8d59f9820d2cf168b07d46b1519d12ee7a2f7062a2490da0a99ccb50
  • 9a049fe87fe472bd6e2a9f361b78a64576be9f827f9668af69bec03f5cbef0da
Комментарии: 0
Похожие записи
0
13 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
13 часов
IOC

Злоумышленники используют налоговый сезон для развертывания фишинговых кампаний на налоговую тематику

phishing
В преддверии Дня налогов в США 15 апреля компания Microsoft обнаружила несколько фишинговых кампаний, которые используют налоговую тематику для социальной инженерии с целью кражи учетных данных и внедрения вредоносного ПО.
0
3 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.