Мошенники прячут фишинговые ссылки в метатегах

МОШЕННИКИ ПРЯЧУТ ФИШИНГОВЫЕ ССЫЛКИ В МЕТАТЕГАХ

19.08.19
Оригинальную фишинговую компанию зафиксировали ИБ-специалисты компании Avanan. Киберпреступники рассылают электронные письма, замаскированные под сообщения голосовой почты Office 365, и перенаправляют жертву на скомпрометированный сайт при помощи механизма, получившего название MetaMorph Obfuscation (обфускация MetaMorph). Алгоритм не вызывает подозрения у защитных систем, поскольку вредоносная ссылка скрыта в метатеге документа.

1566233275920.png

Как пояснили исследователи, обычно злоумышленники размещают адрес страницы в специализированных HTML-тегах, таких как <a href> или <script> — документы с подобными вложениями легко детектируют встроенные средства безопасности Microsoft Office. В случае с MetaMorph Obfuscation киберпреступники использовали оператор <meta> с параметром http-equiv=»refresh», который позволяет принудительно открыть целевой сайт.

Фишинг через голосовую почту Office 365
Атака начинается с электронного письма, имитирующего уведомление голосовой почты Office 365. Чтобы затруднить выявление опасного контента, большая часть текста в теле сообщения располагается в изображениях, а получателю предлагают открыть приложенный к письму HTML-файл, чтобы прослушать послание. Вредоносный документ запускается в браузере и переадресует жертву на принадлежащий мошенникам ресурс.

Сайт, копирующий оформление страницы авторизации Office 365, предлагает посетителю ввести логин и пароль своей учетной записи. Полученные данные скрипт диалоговой формы пересылает на сервер злоумышленников, расположенный в Пакистане. Его IP-адрес жестко зашит в коде веб-страницы, что необычно для подобных ресурсов – обычно киберпреступники скрывают местоположение центра управления.

Готовые шаблоны страниц, имитирующих службы авторизации Office 365, Amazon, Google и других известных сайтов в комплекте с платформами для их размещения предлагают арендные сервисы. За ежемесячную плату киберпреступники обещают заказчикам размещение фишинговых ресурсов, а также гарантируют их работоспособность и оперативную замену в случае блокировки. Стоимость такой услуги в дарквебе варьируется от 30 до 80 долларов.

Threatpost
 
Последнее редактирование:
Назад
Сверху Снизу