09.12.2023 | COLDRIVER: кто стоит за крупнейшей кибератакой на почтовые сервисы? |
Киберпреступная группировка COLDRIVER продолжает активно заниматься кражей учётных данных у организаций из самых разных отраслей, сообщает команда Microsoft . Группировка действует с 2017 года и специализируется на создании фишинговых сайтов, имитирующих страницы входа в почтовые сервисы и другие системы. Когда пользователь вводит там свои логин и пароль, злоумышленники их перехватывают и используют для доступа к личным данным и корпоративным системам. Microsoft заявила, что наблюдала, как злоумышленники используют серверные скрипты для предотвращения автоматического сканирования инфраструктуры, контролируемой участниками, начиная с апреля 2023 года, отходя от hCaptcha для определения интересующих целей и перенаправляя сеанс просмотра на сервер Evilginx . Таким образом злоумышленники маскируют свою инфраструктуру от автоматического анализа и сосредотачивают усилия на реальных пользователях. Кроме того, для рассылки фишинговых писем, ведущих на замаскированную страницу сбора учётных данных, стала применяться email-маркетинговая платформа HubSpot . Чтобы затруднить автоматический анализ вредоносных доменов, группировка стала использовать случайные словосочетания при их регистрации. Фишинговые ссылки обычно также маскируются в защищённых паролем PDF-файлах, размещённых в облачном хранилище Proton Drive . Несмотря на эти уловки, основная цель COLDRIVER не меняется — кража учётных данных для доступа к корпоративной и личной электронной почте, а также загруженным туда файлам. В связи с продолжающейся злонамеренной деятельностью COLDRIVER правительства Великобритании и США даже ввели персональные санкции против нескольких предполагаемых участников группировки, а за информацию о других членах COLDRIVER и их текущей активности объявлено вознаграждение в 10 миллионов долларов в рамках программы «Rewards for Justice» . Несмотря на предпринимаемые меры, COLDRIVER продолжает активно использовать всё более изощрённые методы для кражи личных данных. Компании и рядовым пользователям следует проявлять повышенную бдительность в отношении фишинговых писем и подозрительных сайтов. |
Проверить безопасность сайта