0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Красивая обёртка для кражи данных. Как выглядит фишинг, который не стыдно показать коллегам

Datadog Security Labs 1Phish 1Password HideClick фишинг MFA Cloudflare менеджеры паролей
Красивая обёртка для кражи данных. Как выглядит фишинг, который не стыдно показать коллегам
Datadog Security Labs 1Phish 1Password HideClick фишинг MFA Cloudflare менеджеры паролей

Индустрия нелегального софта добралась до высшей лиги.

image

Фишинговые кампании против пользователей менеджеров паролей выходят на новый уровень. С сентября 2025 года злоумышленники последовательно развивают набор инструментов под названием 1Phish, нацеленный на клиентов сервиса 1Password. За несколько месяцев примитивная страница для сбора логина и пароля превратилась в многоэтапную платформу с поддержкой двухфакторной аутентификации, защитой от анализа и сложной серверной логикой.

Первые атаки специалисты из Datadog Security Labs зафиксировали осенью 2025 года. Пользователям 1Password рассылали письма о «взломе» учётной записи и предлагали срочно «проверить» данные. Ссылки вели на домены с опечатками, маскирующиеся под официальный сайт. Ранние версии набора представляли собой простую HTML-форму объёмом около 250 строк кода, которая отправляла введённые адрес электронной почты, секретный ключ и пароль на сервер злоумышленников. Поддержки одноразовых кодов тогда не было.

К концу 2025 года структура усложнилась. В код добавили проверку полей на стороне клиента, имитацию сообщений об ошибках и задержки при отправке формы, чтобы страница выглядела убедительнее. Появилась система сбора цифрового отпечатка браузера.

Скрипт анализировал наличие признаков автоматизации, проверял плагины, параметры экрана и видеокарту через WebGL, а затем передавал данные на сервер в зашифрованном виде. Для фильтрации трафика использовали сервис HideClick, который скрывает вредоносную страницу от автоматических сканеров и показывает «чистый» контент проверяющим. Схожий приём с сокрытием от ботов применялся и в операции PhantomCaptcha, где злоумышленники маскировали вредоносные страницы за поддельными капчами Cloudflare.

В начале 2026 года 1Phish перешёл к многошаговой схеме. Перед показом формы входа жертву перенаправляли на страницу «проверки безопасности», где собирали расширенный набор характеристик устройства и решали, допускать ли пользователя дальше.

После ввода логина, секретного ключа и пароля страница могла запросить шестизначный код из приложения аутентификации. Отправка такого кода происходила отдельным запросом на сервер. Признаков использования обратных прокси для автоматического перехвата сессий специалисты не обнаружили, однако сбор одноразовых кодов указывает на попытки входа в режиме реального времени.

В феврале 2026 года появилась четвёртая версия, которая заметно отличается архитектурой. Разработчики отказались от простой отправки форм и внедрили REST-интерфейс с управлением сессиями. Сервер создаёт идентификатор сеанса, а затем принимает по отдельности учётные данные, одноразовые коды, регион пользователя и даже коды восстановления формата 1PRK. Подобная схема «фишинг как сервис» ранее применялась и в наборе RaccoonO365, операторы которого также продавали доступ к готовой фишинговой инфраструктуре.

Тогда же добавлена поддержка корпоративных аккаунтов с вводом адреса компании, что расширяет круг потенциальных жертв до команд и предприятий. Код JavaScript в новой версии обфусцирован, а система оценки «подозрительности» клиента блокирует пользователей при обнаружении инструментов анализа.

Анализ инфраструктуры показывает преемственность всех версий. Наборы используют схожую структуру страниц, одинаковые элементы интерфейса, повторяющиеся шаблоны обработки шагов и близкую схему сбора отпечатков браузера. Большинство доменов размещали за Cloudflare, что указывает на типовой сценарий развёртывания: именно эта CDN-инфраструктура привлекает киберпреступников из-за высокого доверия к её IP-адресам. При этом остаётся открытым вопрос, управляет ли 1Phish один оператор или набор распространяют как сервис для других групп.

В 1Password сообщили, что отслеживают вредоносные домены и добиваются их блокировки совместно с регистраторами и хостинг-провайдерами. Компания советует игнорировать письма о «взломе» и переходить к сервису только через известный адрес, не вводя пароли, одноразовые коды и коды восстановления на сторонних сайтах.

История 1Phish демонстрирует, как быстро фишинговые инструменты эволюционируют и адаптируются к многофакторной защите. Менеджеры паролей остаются привлекательной целью, а атакующие всё чаще строят полноценные веб-приложения вместо разрозненных поддельных страниц.