Одна из киберпреступных группировок, атаковавшая тысячи организаций по всему миру в рамках широкомасштабной фишинговой кампании, забыла скрыть украденные конфиденциальные данные от поисковиков.
Специалисты по информационной безопасности из Check Point и Otorio, которые занимались исследованием фишинговой кампании, выяснили, что киберпреступники случайно раскрыли украденные учетные данные.
В представленном отчете говорится о том, что хакеры после кражи конфиденциальной информации перенаправляли ее на домены, которые были зарегистрированы специально для хранения украденных данных. Но все похищенные учетные данные были помещены в общедоступный файл, который был успешно проиндексирован Google.
За счет этого теперь поисковик отображает результаты по запросам украденного адреса email или пароля.
Исследователи безопасности из Check Point и Otorio отмечают, что киберпреступниками также были взломаны легальные серверы WordPress, на которых была размещена вредоносная страница PHP, ссылку на которую отправляли жертвам. «Обычно хакеры предпочитают пользоваться предварительно скомпрометированными серверами вместо собственной инфраструктуры из-за высокой репутации уже существующих сайтов», – говорят специалисты Check Point.
Хакеры использовали несколько заготовленных писем, которые рассылались жертвами, чтобы заманить тех на переход на целевую вредоносную страницу, на которой требовалось ввести имя пользователя и пароль Microsoft Office 365. В строке темы электронного письма указывалось имя жертвы, название его компании. Хакеры делали так, что жертве казалось, что ей приходит письмо-уведомление о сканировании Xerox в формате HTML.
При открытии якобы отсканированного файла веб-браузер демонстрировал размытое изображение, на которое была наложена поддельная форма входа в Microsoft Office 365. Интересно, что поле, куда надо было вводить имя пользователя, уже было заполнено адресом электронной почты жертвы, что еще больше вводило ее в заблуждение.
Код JavaScript, работающий в фоновом режиме, проверял реальность учетных данных, отправлял их на сервер киберпреступников, после чего автоматически перенаправлял жертву на настоящую страницу авторизации в Microsoft Office 365, чтобы отвести все подозрения в фишинге.
Хотя эта фишинговая кампания началась в августе 2020 года, исследователи из Check Point и Otorio обнаружили фишинговые письма от той же киберпреступной группы, датированные маем 2020 года. Google не впервые индексирует страницы, на которых хакеры публикуют украденные. Это показывает, что не все злоумышленники обладают достаточной квалификацией для защиты результатов своих операций.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
