Нещодавно виявлена ​​фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.

Останні допомагають злочинцям обійти захисні механізми на кшталт антиспам-шлюзу (secure email gateway, SEG). За словами фахівців компанії Cofense, які звернули увагу на активність кіберзлочинців, дана фішингова кампанія стартувала в середині грудня 2020 року.

Основними цілями хакерів були компанії фінансового сектора Великобританії. Вся схема фішерів будувалася на API, які пропонує сервіс для обміну повідомленнями Telegram. Як відомо, ці API дозволяють користувачам створювати веб-елементи, що задіють функції Telegram для інтерфейсу.

Однак зловмисники вправно пристосувалися і почали використовувати API для створення фішингових доменів.

“Саме в цій кампанії кіберзлочинці зламували поштові скриньки з тим розрахунком, щоб вони виглядали для користувачів легітимними. Потім хакери використовували домен для перенаправлення жертви на шкідливий сайт”, – пояснює Джейк Лонгден з Cofense.

Таким чином, нічого не підозрюючи, співробітники отримували фішингові листи, які приходили нібито від джерела всередині корпорації (наприклад, з адреси на зразок [email protected]). Однак насправді джерело знаходилося за межами організації, яку атакували.

У Cofense також відзначили, що фішери намагалися привернути увагу жертв яскравими заголовками листів, в яких зазначалося, що справа термінова. Всі ці хитрощі були розраховані лише на одне – змусити співробітника відкрити і прочитати лист.

Довірливі службовці клікали на посилання у таких повідомленнях, після чого потрапляли на шкідливий домен, створений за допомогою API Telegram і замаскований під легітимну сторінку входу. Само собою, всі введені на такій сторінці облікові дані відправляються до рук зловмисників.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.