Недавний отчет о фишинговом инструментарии «Premium panel» выявляет серьезные угрозы, исходящие от продвинутых методов, используемых злоумышленниками для кражи учетных данных. Инструментарий состоит из нескольких страниц на .php и JavaScript-скриптов, которые направлены на регистрацию данных пользователей и перенаправление жертв на поддельные страницы входа, имитирующие доверенные компании.
Цели и география атак
«Premium panel» применяет свои стратегии в различных регионах, включая:
- Саудовская Аравия
- Израиль
- Южная Корея
- Африка
- Тайвань
- Катар
- Гватемала
За последние два года злоумышленники стали применять этот инструментарий для фишинговых кампаний, нацеливаясь на европейские компании, особенно в банковском и логистическом секторах.
Системная архитектура и методы работы
Одной из ключевых особенностей «Premium panel» является использование общих IP-адресов для нескольких фишинговых доменов. Это свидетельствует о потенциальной централизации операций одним и тем же хакером.
Например:
- На IP-адресе 139.177.180.48 были обнаружены фишинговые сайты, нацеленные на банк на Кипре и телекоммуникационную компанию в Венгрии.
- Другие IP-адреса оказались связанными с атаками на финансовый и телекоммуникационный сектора Франции.
Инструментарий использует критически важный скрипт, названный processor.php, который поддерживает активное соединение с браузером жертвы. Он осуществляет регулярную отправку данных для поддержания сеанса, что значительно увеличивает вероятность успешной кражи данных.
Анализ уязвимостей и риски
Исторические реестры показали связи между адресами электронной почты, на которые регистрировались фишинговые домены. Это указывает на наличие закономерностей, которые могут быть использованы для отслеживания хакеров.
Например, один адрес электронной почты, связанный с фишинговыми сайтами, ориентированными на французские банки, способен выявлять связи между различными доменами.
Поскольку инструментарий, по всей видимости, коммерциализирован, он может быть продан другим злоумышленникам, что расширяет масштабы угроз. Не менее важно, что часть панелей не защищены надлежащим образом, что ведет к риску утечки данных администраторов.
Заключение и рекомендации
Инфраструктура, поддерживающая этот инструментарий, основана на взломанных законных веб-сайтах и легко настраиваемых службах временного домена. Это подчеркивает адаптивность операций с фишингом и указывает на гибкость в выборе целевых секторов, особенно там, где возможна быстрая финансовая выгода.
Способы защиты, которые могут быть рекомендованы организациям и частным лицам:
- Использование многофакторной аутентификации.
- Проведение регулярного обучения по кибербезопасности.
- Мониторинг подозрительной активности в учетных записях.
Ожидается, что использование «Premium panel» будет продолжать расти, что сделает необходимым постоянный мониторинг и анализ этого инструментария, чтобы предотвратить кражу учетных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговый инструментарий "Premium Panel": угроза для бизнеса".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
