Гуманитарные организации ООН находятся под кибератаками

Специалисты компании Lookout обнаружили вредоносную кампанию против гуманитарных организаций ООН. В числе атакуемых оказались детский фонд UNICEF, Всемирная продовольственная программа, Программа развития ООН и пр. Специалисты уведомили их об угрозе и предупредили, что атаки все еще продолжаются.

Злоумышленники создали фишинговые сайты, скопировав дизайн с оригинальных сайтов ООН, с целью заманивать сотрудников организаций на поддельные страницы авторизации и похищать их учетные данные. Как отмечают исследователи, злоумышленников интересуют не отдельные сотрудники, а вся организация в целом. Завладев учетными данными одних сотрудников, киберпреступники изучают их электронные ящики в поисках других сотрудников и пытаются скомпрометировать их учетные записи.

По данным исследователей, связанная с атаками инфраструктура используется с марта 2019 года. Фишинговый контент распространялся с доменов session-services[.]com и service-ssl-check[.]com, разрешенные в IP-адреса 111.90.142.105 и 111.90.142.91. Связанный блок IP-адресов и номер автономной системы (Autonomous System Number, ASN) имеют низкую репутацию и в прошлом уже использовались для хостинга вредоносного ПО.

Специалисты Lookout выявили несколько заслуживающих внимания методов, используемых в данной кампании, в том числе способность обнаруживать мобильные устройства и напрямую регистрировать нажатия клавиш, когда жертва вводит данные в поле пароля.

В частности, логика Javascript-кода на фишинговых страницах определяет, загружается ли страница на мобильное устройство. Если да, то используется контент для мобильных устройств. Поскольку мобильные версии браузеров обрезают URL-адреса, жертвам труднее обнаружить обман.

Исследователи также обнаружили кейлоггер, встроенный в поле пароля на фишинговых страницах авторизации. То есть, даже если жертва ввела учетные данные, но не нажала на кнопку ввода, они все равно будут перехвачены кейлоггером.