Группа анализа ASEC выявила распространение в Корее вредоносного веб-сайта, целью которого является кража учетных данных с известного корейского сайта почтовой службы.
Фишинговый сайт, на который перенаправляет письмо, замаскирован под страницу входа на сайт корейской электронной почты, и было подтверждено более 50 случаев обращения к этому сайту в Корее. Таким образом, пользователи должны соблюдать особую осторожность при входе на этот сайт электронной почты.
Фишинговый сайт замаскирован под страницу входа в корейский почтовый сервис, как показано ниже, и когда пользователь вводит свой ID и пароль для учетной записи и нажимает "Войти", введенные учетные данные пересылаются на сервер угрожающего субъекта (hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php), и в конечном итоге пользователь перенаправляется на обычный сайт для полного обмана.
До настоящего времени было подтверждено 2 фишинговых сайта, замаскированных под эту почтовую службу, и, вероятно, существуют и другие неопознанные URL-адреса.
Indicators of Compromise
URLs
- https://as-massage.ch/wp-includes/mindx/nkuego.php
- https://trinimcvx.000webhostapp.com/post.php
MD5
- 9c3adf3d9f1d5ffa55b3e45283494d4f