Авторы фишинг-пака включили в очередную версию комплекта шаблоны фальшивых страниц авторизации онлайн-магазина.
Специалисты по информационной безопасности обнаружили обновленную версию фишингового комплекта 16Shop, созданную для кражи учетных данных пользователей Amazon. Как выяснили ИБ-эксперты, в комплекте появился шаблон фальшивой страницы авторизации онлайн-магазина, который предлагает пользователю ввести логин и пароль. Собранные данные передаются злоумышленникам, купившим лицензию на применение вредоносного пакета.
16Shop — это коммерческий продукт, который защищен от копирования конфигурационным файлом, хранящимся на сервере разработчиков. Киберпреступники могут приобрести права на его использование, связавшись с авторами в дарквебе или через социальные сети. На момент публикации в Сети выявлены более 200 сайтов, использующих 16Shop.
Предыдущие варианты фишинг-пака содержали готовые инструменты для создания поддельных страниц входа в аккаунт Apple ID и собирали широкий спектр персональной информации, включая номера банковских карт жертвы.
В ноябре прошлого года комплект взломали и выложили на ряде криминальных ресурсов. Исследователи выяснили, что измененная версия 16Shop содержала бэкдор, который отправлял собранные о жертве сведения не только владельцам страницы, но и на сторонний аккаунт в Telegram, адрес которого был зашит в коде программы. Не исключено, что именно это подтолкнуло разработчиков оригинальной версии сменить объект атаки.
По мнению ИБ-экспертов, за созданием 16Shop стоит индонезийский киберпреступник DevilScreaM, входящий в группировку Indonesian Cyber Army. На его счету ряд взломанных веб-ресурсов, а также разработка нескольких эксплойтов для атаки сайтов на базе WordPress.
Взломщик создал портал, где выкладывает различные вредоносные инструменты, а также написал две электронные книги с советами начинающим киберпреступникам.
Результаты исследования, проведенного в 2017 году, показали, что на криминальном рынке предлагаются тысячи фишинг-паков. Часть из них представляют собой только архив с шаблонами фальшивых страниц, многие из которых скопированы из больших разработок, подобных 16Shop.