Злоумышленники нападают на сотрудников Организации Объединенных Наций, чтобы украсть их учетные данные в новой фишинг-кампании

Злоумышленники нападают на сотрудников Организации Объединенных Наций, чтобы украсть их учетные данные в новой фишинг-кампании

Исследователи безопасности обнаружили новую фишинговую кампанию, нацеленную на сотрудников Организации Объединенных Наций. В ходе кампании хакеры крадут учетные данные сотрудников для перепродажи на криминальных форумах и торговых площадках.

Как это работает?

Исследователи из Anomali Labs обнаружили, что фишинговый сайт, маскирующийся под страницу входа в систему для идентификации Организации Объединенных Наций, использовался для обмана жертв. ООН Unite Identity — это приложение с единым входом (SSO), используемое персоналом ООН.

Когда посетители пытаются войти на мошенническую страницу, их браузер перенаправляется на поддельное приглашение для просмотра фильма в посольстве Польши в Пхеньяне.

Было обнаружено, что поддельная страница входа, которая имеет сходство с законной, была «облачной.Unite.Un.Org.Docs-verify.Com».

При переходе на подозрительный поддомен пользователи попадают на фишинговый сайт, имитирующий страницу входа в систему Unite Identity Организации Объединенных Наций. Фишинговый сайт просит пользователей ввести свой адрес электронной почты, заканчивающийся @un.Org и пароль Unite Identity. Фишинговая страница, клонированная версия легального сайта, предупреждает пользователей о поддельных сайтах ООН, предназначенных для кражи имен пользователей и паролей, а также предоставляет копию адреса веб-сайта для легальной страницы входа в Unite Identity.

Анализ домена и IP-адреса

«Whois», домен, который ищет информацию о владельце домена, обнаружил, что 1 августа 2018г. малайзийский регистратор и хостинг-провайдер Shinjiru Technology Sdn Bhd зарегистрировал домен «verify.Com». Родительский домен и связанные с ним IP-адреса, которые являются часть кампании была назначена на IP-адрес в Малайзии 111.90.142.52, принадлежащий Shinjiru Technology Sdn Bhd — хост для 33 доменов.

Исследователи отметили, что «обзор этих 32 дополнительных доменов позволил выявить несколько подозрительных сайтов, включая фишинговые сайты, предназначенные для подарочных карт Visa Vanilla, Caixa Bank of London и First Texas Bank».

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только