Киберпреступники атакуют детский фонд UNICEF, Всемирную продовольственную программу и пр.
Специалисты компании Lookout обнаружили вредоносную кампанию против гуманитарных организаций ООН. В числе атакуемых оказались детский фонд UNICEF, Всемирная продовольственная программа, Программа развития ООН и пр. Специалисты уведомили их об угрозе и предупредили, что атаки все еще продолжаются.
Злоумышленники создали фишинговые сайты, скопировав дизайн с оригинальных сайтов ООН, с целью заманивать сотрудников организаций на поддельные страницы авторизации и похищать их учетные данные. Как отмечают исследователи, злоумышленников интересуют не отдельные сотрудники, а вся организация в целом. Завладев учетными данными одних сотрудников, киберпреступники изучают их электронные ящики в поисках других сотрудников и пытаются скомпрометировать их учетные записи.
По данным исследователей, связанная с атаками инфраструктура используется с марта 2019 года. Фишинговый контент распространялся с доменов session-services[.]com и service-ssl-check[.]com, разрешенные в IP-адреса 111.90.142.105 и 111.90.142.91. Связанный блок IP-адресов и номер автономной системы (Autonomous System Number, ASN) имеют низкую репутацию и в прошлом уже использовались для хостинга вредоносного ПО.
Специалисты Lookout выявили несколько заслуживающих внимания методов, используемых в данной кампании, в том числе способность обнаруживать мобильные устройства и напрямую регистрировать нажатия клавиш, когда жертва вводит данные в поле пароля.
В частности, логика Javascript-кода на фишинговых страницах определяет, загружается ли страница на мобильное устройство. Если да, то используется контент для мобильных устройств. Поскольку мобильные версии браузеров обрезают URL-адреса, жертвам труднее обнаружить обман.
Исследователи также обнаружили кейлоггер, встроенный в поле пароля на фишинговых страницах авторизации. То есть, даже если жертва ввела учетные данные, но не нажала на кнопку ввода, они все равно будут перехвачены кейлоггером.
Одно найти легче, чем другое. Спойлер: это не темная материя