Специалисты Trend Micro выявили фишинговую кампанию, направленную на похищение учетных данных посетителей нескольких южнокорейских сайтов.

Злоумышленники внедрили скрипт, загружающий фальшивую форму авторизации, на главные страницы скомпрометированных ресурсов, что позволило им проводить атаки по методу «водопоя» (watering hole). Эксперты предполагают, что вредоносное ПО, которое используют киберпреступники, пока находится в стадии тестирования и отладки.

Вредоносный штамм, получивший кодовое название Soula, был найден на четырех южнокорейских сайтах, один из которых входит в число самых посещаемых бизнес-ресурсов в стране. Как выяснили специалисты, главные страницы всех онлайн-площадок содержали JavaScript-сценарий, который загружал со стороннего сервера фишинговый скрипт и поддельную страницу регистрации. Зловред анализировал HTTP-заголовки передаваемых пакетов, чтобы отсеять боты и определить тип устройства остальных посетителей — им он выводил соответствующую форму для ввода учетных данных.

Зловред не проявлял активности до тех пор, пока жертва не заходила на скомпрометированный сайт шестой раз, после чего предлагал ей «авторизоваться». Введенные в фишинговом окне логин и пароль отправлялись киберпреступникам без какой-либо проверки корректности данных. По мнению ИБ-специалистов, это свидетельствует о том, что злоумышленники еще настраивают и дорабатывают свое программное обеспечение, и в дальнейшем можно ожидать новых атак.

Код Soula содержит комментарии на китайском языке, что позволяет сделать вывод о национальной принадлежности автора зловреда. Как выяснили эксперты, злоумышленники использовали CDN-сеть Cloudflare, чтобы скрыть домен и реальный IP-адрес своего сервера. Узнав о злоупотреблении, операторы сети доставки контента заблокировали аккаунт фишеров, однако инициаторы атак watering-hole перенесли свои скрипты и страницы на другой сервер — на сей раз взломанный.

Специалисты «Лаборатории Касперского» подчеркивают, что в 2018 году фишеры резко увеличили свою активность. По данным компании, около 20% клиентов компании столкнулись с этим видом интернет-мошенничества, а защитные системы заблокировали более 480 млн переходов на вредоносные сайты. Чаще других от нападений киберпреступников страдали пользователи из Бразилии, Португалии и Австралии.

Категории: Аналитика, Главное, Мошенничество, Хакеры