Специалисты по информационной безопасности обнаружили обновленную версию фишингового комплекта 16Shop, созданную для кражи учетных данных пользователей Amazon. Как выяснили ИБ-эксперты, в комплекте появился шаблон фальшивой страницы авторизации онлайн-магазина, на которой пользователю предлагается ввести логин и пароль. Собранные данные передаются злоумышленникам, купившим лицензию на использование вредоносного пакета.

16Shop — это коммерческий продукт, который защищен от копирования конфигурационным файлом, хранящимся на сервере разработчиков. Киберпреступники могут приобрести права на его использование, связавшись с авторами в дарквебе или через социальные сети. На момент публикации в Сети выявлены более 200 сайтов, использующих 16Shop.

Предыдущие варианты фишинг-пака содержали готовые инструменты для создания поддельных страниц входа в аккаунты под идентификатором Apple ID и собирали широкий спектр персональной информации, включая номера банковских карт жертв.

В ноябре прошлого года код комплекта для проведения фишинговых атак взломали и выложили пиратскую копию на ряде криминальных ресурсов. Исследователи выяснили, что измененная версия 16Shop содержала бэкдор, который отправлял собранные о жертве сведения не только владельцам страницы, но и на сторонний аккаунт в Telegram, зашитый в коде программы. Не исключено, что именно это подтолкнуло разработчиков оригинальной версии сменить PHP-код и объект атаки.

По мнению ИБ-экспертов, за созданием 16Shop стоит индонезийский киберпреступник DevilScreaM, входящий в группировку Indonesian Cyber Army. На его счету ряд взломанных веб-ресурсов, а также разработка нескольких эксплойтов для проведения атак на сайты, использующие WordPress.

Взломщик создал портал, где выкладывает различные вредоносные инструменты, а также написал две электронные книги с советами начинающим киберпреступникам.

Результаты исследования, проведенного в 2017 году, показали, что на криминальном рынке предлагаются тысячи фишинг-паков. Часть из них представляют собой только архив с шаблонами фальшивых страниц, многие из которых скопированы из больших разработок, подобных 16Shop.

Категории: Вредоносные программы, Мошенничество