Перейти к публикации
AD Обнал забытых BTC-кошельков + софт (Майнинг нового поколения)

INFO

фишеры поджидают жертв у «водопоя»

Автор: INFO, в СМИ

Рекомендованные сообщения

INFO    8

INFO
Опубликовано:

Специалисты Trend Micro выявили фишинговую кампанию, направленную на похищение учетных данных посетителей нескольких южнокорейских сайтов.

Злоумышленники внедрили скрипт, загружающий фальшивую форму авторизации, на главные страницы скомпрометированных ресурсов, что позволило им проводить атаки по методу «водопоя» (watering hole). Эксперты предполагают, что вредоносное ПО, которое используют киберпреступники, пока находится в стадии тестирования и отладки.

Вредоносный штамм, получивший кодовое название Soula, был найден на четырех южнокорейских сайтах, один из которых входит в число самых посещаемых бизнес-ресурсов в стране. Как выяснили специалисты, главные страницы всех онлайн-площадок содержали JavaScript-сценарий, который загружал со стороннего сервера фишинговый скрипт и поддельную страницу регистрации. Зловред анализировал HTTP-заголовки передаваемых пакетов, чтобы отсеять боты и определить тип устройства остальных посетителей — им он выводил соответствующую форму для ввода учетных данных.

Зловред не проявлял активности до тех пор, пока жертва не заходила на скомпрометированный сайт шестой раз, после чего предлагал ей «авторизоваться». Введенные в фишинговом окне логин и пароль отправлялись киберпреступникам без какой-либо проверки корректности данных. По мнению ИБ-специалистов, это свидетельствует о том, что злоумышленники еще настраивают и дорабатывают свое программное обеспечение, и в дальнейшем можно ожидать новых атак.

Код Soula содержит комментарии на китайском языке, что позволяет сделать вывод о национальной принадлежности автора зловреда. Как выяснили эксперты, злоумышленники использовали CDN-сеть Cloudflare, чтобы скрыть домен и реальный IP-адрес своего сервера. Узнав о злоупотреблении, операторы сети доставки контента заблокировали аккаунт фишеров, однако инициаторы атак watering-hole перенесли свои скрипты и страницы на другой сервер — на сей раз взломанный.

• Source: https://www.scmagazine.com/home/security-news/phishing/south-korean-websites-hit-with-rare-waterhole-phishing-scheme/

0

Поделиться сообщением

Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
Перейти к списку тем
×
×
  • Создать...