• Home
• Short News
• Long News
• Long Reads
• Support
• Library
• blogs
• links
• Полная версия сайта

Мошенники прячут фишинговые ссылки в метатегах

исьмо, имитирующее уведомление голосовой почты Office 365, переадресует жертву на сайт для кражи учетных данных.

Оригинальную фишинговую компанию зафиксировали ИБ-специалисты компании Avanan. Киберпреступники рассылают электронные письма, замаскированные под сообщения голосовой почты Office 365, и перенаправляют жертву на скомпрометированный сайт при помощи механизма, получившего название MetaMorph Obfuscation (обфускация MetaMorph). Алгоритм не вызывает подозрения у защитных систем, поскольку вредоносная ссылка скрыта в метатеге документа.

Как пояснили исследователи, обычно злоумышленники размещают адрес страницы в специализированных HTML-тегах, таких как <a href> или <script> — документы с подобными вложениями легко детектируют встроенные средства безопасности Microsoft Office. В случае с MetaMorph Obfuscation киберпреступники использовали оператор <meta> с параметром http-equiv=»refresh», который позволяет принудительно открыть целевой сайт.

Фишинг через голосовую почту Office 365

Атака начинается с электронного письма, имитирующего уведомление голосовой почты Office 365. Чтобы затруднить выявление опасного контента, большая часть текста в теле сообщения располагается в изображениях, а получателю предлагают открыть приложенный к письму HTML-файл, чтобы прослушать послание. Вредоносный документ запускается в браузере и переадресует жертву на принадлежащий мошенникам ресурс.

Сайт, копирующий оформление страницы авторизации Office 365, предлагает посетителю ввести логин и пароль своей учетной записи. Полученные данные скрипт диалоговой формы пересылает на сервер злоумышленников, расположенный в Пакистане. Его IP-адрес жестко зашит в коде веб-страницы, что необычно для подобных ресурсов – обычно киберпреступники скрывают местоположение центра управления.

Готовые шаблоны страниц, имитирующих службы авторизации Office 365, Amazon, Google и других известных сайтов в комплекте с платформами для их размещения предлагают арендные сервисы. За ежемесячную плату киберпреступники обещают заказчикам размещение фишинговых ресурсов, а также гарантируют их работоспособность и оперативную замену в случае блокировки. Стоимость такой услуги в дарквебе варьируется от 30 до 80 долларов.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля