За фишинговой кампанией OLUOMO стоят поддельные порталы документов и украденный бланк натурализации США

Кампания получила название OLUOMO - по артефакту в имени одного из первых файлов приманки. Она состоит из двух этапов. На первом этапе жертва попадает на взломанный сайт, где ей предлагают "безопасный доступ к конфиденциальным материалам". Страница имитирует портал проверки документов и требует ввести адрес электронной почты. После ввода данных браузер перенаправляется на второй этап - прокси-сервер, работающий внутри инфраструктуры Azure. Этот прокси подставляет браузер к реальному серверу авторизации Microsoft, но все запросы проходят через сервис-воркер, который копирует их содержимое и отправляет злоумышленнику.

Особого внимания заслуживает оформление приманки. В качестве фонового изображения страницы используется фотография заявления о натурализации США (форма N-400). Этот документ имеет единственный известный источник в открытом интернете: блог 2015 года, посвящённый генеалогии. Оператор кампании скачал отсканированное заявление, слегка размыл его и загрузил на хостинг изображений Imgur. Судя по счётчикам просмотров на Imgur, четыре варианта картинки суммарно увидели более 15 тысяч раз. Исследователи в своём отчёте отметили: хотя часть просмотров могла быть получена при прямом открытии ссылки на Imgur, основная масса приходится на показ фона на фишинговых страницах. Это значит, что потенциальными жертвами стали тысячи пользователей.

Прокси-часть работает на Azure Web Apps. Когда браузер жертвы загружает страницу второго этапа, регистрируется сервис-воркер. Он перехватывает все сетевые запросы, кроме нескольких служебных путей. Для каждого запроса сервис-воркер собирает URL, метод, заголовки, тело и реферер, упаковывает их в JSON и отправляет на эндпоинт на том же домене. Сервер пересылает запросы Microsoft, а ответы возвращает браузеру. Таким образом учётные данные и токены проходят через руки злоумышленника. После завершения авторизации жертву перенаправляют на PDF-файл, который к моменту анализа уже был недоступен.

В коде приманки обнаружена дополнительная хитрость: в настоящую страницу входа Microsoft внедрён тег script, ссылающийся на относительный путь. Этот путь не входит в список исключений сервис-воркера, поэтому запрос к нему также перехватывается. Тег работает как сигнал для сервера - он подтверждает, что страница загрузилась у жертвы. Кроме того, в сервис-воркере есть пути для административной панели, позволяющие блокировать определённые IP-адреса (чтобы не обрабатывать трафик исследователей).

Инфраструктура распределена географически. Первый этап использует взломанные домены в Чили, Австралии, Новой Зеландии, Сингапуре, Перу, Эквадоре, Индии и США. Это реально существующие сайты компаний из разных секторов: образование, строительство, консалтинг, недвижимость. Злоумышленники помещают на них поддомены с характерными буквенно-цифровыми идентификаторами. Второй этап работает на Azure Web Apps, размещённых в регионе Австралия-Юго-Восток (Мельбурн). Для маршрутизации украденных данных используется подставной домен orgid[.]com, поддомен которого выглядит как portal.microsoftonline.com.orgid[.]com - типичный приём, рассчитанный на беглый взгляд.

Хронология показывает, что кампания активна с ноября 2025 года. Первая загрузка изображения на Imgur датируется 16 ноября. В конце ноября появились первые приманки на домене alvincurren[.]com. В декабре оператор добавлял новые поддомены на tepartners.com[.]au и controlescolar[.]cl, причём некоторые удалялись через несколько дней. В январе 2026 года загружены ещё два варианта изображения. Такая ротация говорит о том, что злоумышленник старается обходить блокировки, но при этом сохраняет доступ к взломанным сайтам.

Выбор фонового изображения - не случайность. Заявление о натурализации США не является типовой картинкой или размытым плейсхолдером. Это конкретный правительственный документ, имеющий эмоциональное и юридическое значение для определённой группы людей. Без доступа к самим фишинговым письмам нельзя утверждать, на кого именно была нацелена кампания. Однако исследователи Censys с умеренной уверенностью полагают, что оператор сознательно выбрал этот контекст. Возможно, жертвами становились иммигранты, проходящие натурализацию, или специалисты, работающие с такими документами (адвокаты, сотрудники USCIS). В любом случае, приманка создаёт ощущение срочности и доверия: человек, увидевший знакомый бланк, скорее поверит в необходимость входа через "безопасный портал".

Эта кампания иллюстрирует современный тренд: злоумышленники не взламывают сами сервисы, а используют их в своих целях. Imgur, Azure, Microsoft OAuth - каждый компонент по отдельности легитимен. Вредоносное поведение возникает только в их комбинации. Специалистам по безопасности следует обращать внимание на подозрительные комбинации: страницы на взломанных сайтах, запрашивающие email и перенаправляющие на Azure Web Apps, а также на использование необычных фоновых изображений, загруженных на публичные хостинги. Раннее обнаружение возможно с помощью поисковых запросов по уникальным CSS-переменным и заголовкам страниц, характерным для этого набора.

Кампания OLUOMO продолжается. Оператор адаптирует инфраструктуру, меняет поддомены и обновляет изображения. Это напоминание о том, что доверие к знакомым платформам не должно ослаблять бдительность при проверке ссылок и страниц входа, особенно когда речь идёт о конфиденциальных документах.

IPv4

• 103.96.117.68
• 13.77.50.113
• 168.61.217.214
• 192.250.232.195
• 20.36.106.98
• 66.29.144.201
• 69.48.190.10
• 75.102.20.7

Domains

• 06f3127.penrose-hl.com.sg
• 1057p91.tepartners.com.au
• 10s6k284.noveltyproject.com.sg
• 1210678.pinturasboreal.cl
• 14t63y10.mmrealproperty.com.au
• 153d92.tepartners.com.au
• 1635108.tepartners.com.au
• 1w0h489k7.nzmpl.co.nz
• 259k81.tepartners.com.au
• 2891014.lesliepower.cl
• 321784.alvincurren.com
• 3b5810.tepartners.com.au
• 3f6109.tepartners.com.au
• 3occsaf9.controlescolar.cl
• 3occsaf9.tepartners.com.au
• 491a10.tepartners.com.au
• 4rekchj.foodiqr.com.au
• 527l810.tepartners.com.au
• 5941610.lesliepower.cl
• 5imsigqts.controlescolar.cl
• 5imsigqts.tepartners.com.au
• 613527.lesliepower.cl
• 67g108w2.nzmpl.co.nz
• 71a0489.tepartners.com.au
• 726h53.foodiqr.com.au
• 7610912.sbenc.com
• 793j814.fabnet.com.au
• 83e6t10j7.nzmpl.co.nz
• 8726103.lesliepower.cl
• 891024.beggcentralotagos.co.nz
• 8deach.controlescolar.cl
• 8deach.tepartners.com.au
• 8v76b95m.mmrealproperty.com.au
• 953871.lesliepower.cl
• 98y234.tepartners.com.au
• 9z1025.tepartners.com.au
• aunz261.azurewebsites.net
• mnd98.foodiqr.com.au
• nznov28.azurewebsites.net
• orgid.com
• ph89v.foodiqr.com.au
• portal.microsoftonline.com.orgid.com
• ti78j.foodiqr.com.au
• usanov98904.azurewebsites.net
• view.alvincurren.com

URLs

• https://i.imgur.com/DRCJnh1.jpeg
• https://i.imgur.com/eNsCdNg.jpeg
• https://i.imgur.com/RaPutZ4.jpeg
• https://i.imgur.com/uT3ENzk.jpeg