Фиш, обнаруженный в средах, защищенных SEGs

Microsoft EOP, FireEye, Proofpoint

Центр защиты от фишинга (PDC) недавно столкнулся с настойчивыми попытками злоумышленников атаковать немецких банковских пользователей. Аналитики отслеживали эти кампании в течение последних двух недель и сталкивались со всем: от злоупотреблений FeedBurner до использования QR-кодов для обмана пользователей и кражи цифровой банковской информации. Два основных финансовых учреждения подверглись особой атаке: Sparkassen и Volksbanken Raiffeisenbanken.

Предлоги, используемые в электронных письмах, различаются. От предполагаемых сообщений, ожидающих в электронном почтовом ящике пользователя, до запроса согласия на изменения, внесенные банком, или запроса, чтобы пользователи ознакомились с новыми процедурами безопасности. Конечная цель в любом случае одна и та же: заманить пользователей на банковский веб-сайт и предоставить свои учетные данные злоумышленникам.

Тактика доставки была столь же разнообразна. Наиболее распространенным было использование скомпрометированных доменов в качестве URL-адресов перенаправления и фишинговых сайтов. Также было замечено, что злоумышленники злоупотребляли прокси-сервисом Google FeedBurner для перенаправления. Однако в последнее время злоумышленники регистрируют свои собственные домены как для перенаправления, так и в качестве конечных целевых сайтов. Если пользователь находится не в Германии, он будет перенаправлен на другую страницу.

Эти новые фишинговые сайты имеют следующую структуру URL-адресов в зависимости от целевого учреждения (“spk” для Sparkasse или “vr” для Volksbanken Raiffeisenbanken).:

hxxps://{spk/vr}-{случайное немецкое слово (ы)}.com/{10 буквенно-цифровых символов}

PDC видел несколько примеров этих недавно зарегистрированных доменов. Примечательно, что у большинства из них один и тот же российский регистратор, REG.RU В некоторых из последних электронных писем злоумышленники включают QR-коды, которые при сканировании перенаправляют пользователя на один из этих новых вредоносных доменов в попытке заманить пользователей мобильного банкинга.

Фишинговые сайты довольно похожи. Сначала у пользователей запрашивается либо местоположение их банка, либо его банковский код BLZ, а затем соответствующее имя пользователя и PIN-код. Как только эта информация будет предоставлена, страница загрузки попросит пользователя дождаться подтверждения, прежде чем снова отобразить страницу входа в систему, на этот раз с предупреждением о том, что учетные данные неверны, что является распространенной фишинговой тактикой.

Автор: Элмер Эрнандес, Центр защиты от фишинга