#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года две скоординированные кибератаки, операция "GhostChat" и операция "PhantomPrayers", были нацелены на тибетскую общину с использованием многоступенчатых методов заражения и внедрения вредоносных программ, таких как "Призрачная КРЫСА" и "Фантомнет", во время празднования дня рождения Далай-ламы. Атаки включали в себя загрузку библиотек DLL, социальную инженерию и вредоносные ссылки на законных веб-сайтах для распространения вредоносного программного обеспечения, что усложняло обнаружение из-за зашифрованных данных и пользовательских алгоритмов. Эти кампании выявляют постоянные угрозы со стороны китайских APT-групп, что требует тщательного мониторинга меняющихся тактик и поведения вредоносных программ.
-----

В июне 2025 года операции "GhostChat" и "PhantomPrayers" были направлены против тибетской общины во время празднования 90-летия Далай-ламы. Обе кампании были связаны с группой APT, работающей в Китае. Они использовали повышенную активность в Интернете для взлома законных веб-платформ и распространения вредоносных программ.

В ходе атак были применены многоэтапные методы заражения с использованием бэкдоров Ghost RAT и PhantomNet (SManager). Стратегическая веб-компрометация включала вредоносные ссылки на законный сайт, направляя жертв на мошенническую имитацию tibetfund.org.

Были использованы методы социальной инженерии, такие как сфабрикованные онлайн-приглашения, которые побуждали пользователей загружать вредоносное программное обеспечение, замаскированное под безопасное зашифрованное приложение для общения в чате. Такие методы, как дополнительная загрузка библиотеки DLL, позволяли выполнять вредоносный код через скомпрометированную подлинную библиотеку DLL.

Вредоносная библиотека DLL создавала системную устойчивость, избегала обнаружения с помощью вызовов Windows API и использовала зашифрованную полезную нагрузку для последующих этапов атаки. Конфигурация Ghost RAT была зашифрована с помощью специального алгоритма, что усложняло обнаружение.

Кампания PhantomPrayers была похожа на GhostChat, но хранила шеллкод во внешнем файле и включала интерактивный интерфейс для повышения легитимности. Оба семейства вредоносных программ использовали структуры подключаемых библиотек DLL и зашифрованные сообщения C2. PhantomNet обладал возможностями для временных операций и модульной функциональностью с помощью загружаемых плагинов.

Эти кампании являются примером эволюционирующей тактики спонсируемых государством противников, нацеленных на конкретные сообщества.

#ParsedReport #CompletenessLow
24-07-2025

EncryptHub Hacker Infiltrates Steam Game with Dual Malware Attack

https://www.secureblink.com/cyber-security-news/encrypt-hub-hacker-infiltrates-steam-game-with-dual-malware-attack

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal, financially_motivated)

Threats:
Fickle_stealer
Hijackloader
Plaguebot
Vidar_stealer
Ransomhub
Blacksuit_ransomware
Dll_sideloading_technique
Process_injection_technique
Uac_bypass_technique
Supply_chain_technique

Victims:
Steam, Aether forge studios, Chemia, Individual users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1036.005, T1041, T1055, T1056.001, T1059.001, T1071.001, T1078, T1105, have more...

IOCs:
File: 2
Domain: 1

Soft:
Steam, Telegram, Windows Defender, Discord

Languages:
rust, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа EncryptHub взломала Steam с помощью игры "Chemia", используя две вредоносные программы: HijackLoader и Fickle Stealer, используя доверие геймеров. В ходе атаки использовались передовые методы уклонения, дополнительная загрузка библиотек DLL и PowerShell для фильтрации данных, что выявило уязвимости в играх раннего доступа.
-----

Киберпреступная группировка EncryptHub успешно взломала платформу Steam, нацелившись на игру для выживания в раннем доступе "Chemia", что ознаменовало значительный сдвиг в сторону атак, нацеленных на потребителей. Этот инцидент, произошедший 22 июля 2025 года, был связан с развертыванием двух полезных вредоносных программ: HijackLoader и Fickle Stealer, которые были доставлены через инфраструктуру управления Telegram (C2). Стратегия атаки использует доверие игроков к законным загрузкам игр, эффективно маскируя вредоносные действия в среде, которой в остальном можно доверять.

Первоначально EncryptHub внедрил HijackLoader (идентифицированный как CVKRUTNP.exe) в устройства жертвы, обеспечивая постоянство и функционирование в качестве механизма доставки вторичных полезных данных. Вскоре после этого Fickle Stealer, распространяемый с помощью вредоносного DLL-файла (cclib.dll), использовал сценарии PowerShell ("worker.ps1") для извлечения дополнительных вредоносных компонентов из взломанного домена. Вредоносная программа продемонстрировала продвинутые меры защиты от обнаружения, позволяющие ей незаметно работать во время игрового процесса, используя при этом законные имена процессов, чтобы органично вписаться в обычные системные операции.

Атака продемонстрировала возможности EncryptHub, особенно его многовекторный подход, который включает в себя SMS-фишинг и тактику олицетворения для получения первоначального доступа. С июня 2024 года, когда было взломано более 600 организаций, EncryptHub воспользовался уязвимостями игровых платформ, особенно тех, которые находятся на стадии раннего доступа и которые, как считается, имеют более низкие стандарты безопасности.

Как в HijackLoader, так и в Fickle Stealer используются сложные методы утечки данных: в HijackLoader используется дополнительная загрузка библиотек DLL и внедрение процессов для обхода мер безопасности, в то время как Fickle Stealer предназначен для сбора конфиденциальных данных, включая учетные данные и финансовую информацию, с использованием PowerShell для дальнейшего проникновения. Вредоносная программа Fickle Stealer дополняет возможности ранее обнаруженной полезной нагрузки Vidar, предназначенной для скрытой работы и взаимодействия с Telegram для сбора данных в режиме реального времени.

Инцидент отражает более широкие проблемы безопасности в игровой индустрии, особенно учитывая тенденцию к снижению осведомленности пользователей о рисках безопасности. Рекомендации по устранению таких угроз включают внедрение комплексного сканирования на наличие вредоносных программ, обязательную многофакторную аутентификацию для разработчиков и усовершенствование протоколов реагирования на инциденты. Игровые платформы должны уделять приоритетное внимание надежным мерам безопасности, которые защищают пользовательские данные без ущерба для удобства пользователей. Поскольку хакеры все больше внимания уделяют потребительским платформам, сотрудничество между разработчиками, экспертами по безопасности и пользователями имеет важное значение для создания надежных механизмов защиты от этих развивающихся угроз. Атака EncryptHub служит важным показателем появления хакеров в игровом секторе, подчеркивая необходимость принятия упреждающих и скоординированных стратегий обеспечения безопасности во всей отрасли.

#ParsedReport #CompletenessMedium
24-07-2025

Active exploitation of on-premise SharePoint Server vulnerabilities ToolShell

https://labs.withsecure.com/publications/toolshell.html

Report completeness: Medium

Threats:
Toolshell_vuln
Godzilla_webshell
Godzilla_loader
Remoteexec_tool
Asmloader_tool
Shellcodeloader
Netstat_tool
Badpotato_tool
Hrsword_tool
Process_injection_technique
W32/w3wplaunch.a!deepguard

Victims:
Microsoft sharepoint server users

Industry:
Government

Geo:
China

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2024-38094 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (-, 2016, 2019)

CVE-2020-0688 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036, T1055, T1055.001, T1068, T1070.004, T1071.001, T1090.001, T1136.001, have more...

IOCs:
IP: 7
File: 5
Command: 5
Path: 2
Hash: 2

Soft:
SharePoint Server, ASP.NET

Algorithms:
cbc, aes, sha256, base64

Functions:
getBasicsInfo, GetSystemInformation

Languages:
swift

Links:
https://github.com/BeichenDream/BadPotato
https://github.com/Ridter/cve-2020-0688/blob/master/ExchangeCmdPy.py#L338
have more...
https://github.com/Ridter/MSSQL\_CLR/blob/6f1df259cbd7f8790550861f6a72d6d2f4cbe241/Database/CLR\_module/Sharploader.cs#L190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 июля 2025 года Microsoft раскрыла факт активного использования уязвимостей CVE-2025-53770 и CVE-2025-53771 в серверах SharePoint, позволяющих удаленно выполнять код без проверки подлинности. Злоумышленники используют веб-оболочку Godzilla для постоянного доступа и инструмент "BadPotato" для повышения привилегий. Среди примечательных признаков - конкретные схемы атак и IP-адреса, связанные с операциями, что указывает на причастность китайскоязычных хакеров.
-----

19 июля 2025 года корпорация Майкрософт сообщила, что уязвимости, идентифицированные как CVE-2025-53770 и CVE-2025-53771, а также более ранние варианты CVE-2025-49704 и CVE-2025-49706, активно использовались на локальных серверах SharePoint, что получило название "ToolShell". Самые ранние попытки использовать эти уязвимости были зафиксированы 7 июля 2025 года. Успешная эксплуатация позволяет злоумышленникам выполнять удаленное выполнение кода (RCE) на уязвимых серверах SharePoint без проверки подлинности, предоставляя им доступ к конфиденциальному внутреннему контенту, конфигурациям и возможность развертывания веб-оболочек для дальнейших действий по эксплуатации, включая разведку сети и горизонтальное перемещение.

Анализ телеметрии выявил последовательную схему использования, характеризующуюся отправкой запроса POST на конечную точку "/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx" с информацией о ссылке, указывающей на внутреннюю страницу выхода из системы. Примечательно, что идентифицированные IP-адреса, служившие источниками этих атак, включали в себя 75.83.18.243 и 185.141.119.189. Среди инструментов, используемых злоумышленниками, - Godzilla webshell, который обладает функциями, предназначенными для загрузки файлов и базового поиска информации, а также загрузчиком, содержащим идентифицируемые жестко закодированные строки. Есть признаки того, что эта веб-оболочка обеспечивает постоянный доступ к скомпрометированным серверам путем кражи ASP.NET машинных ключей, несмотря на применение исправлений.

Хакер использовал "BadPotato" для повышения привилегий в рамках рабочего процесса IIS, впоследствии создав новую учетную запись локального администратора и установив сеанс протокола удаленного рабочего стола (RDP) на устройстве жертвы, что предполагало настройку обратного туннеля с использованием быстрого обратного прокси (FRP). Во время этого сеанса RDP был запущен двоичный файл с именем "sysdiag-all-x64-6.0.7.2-2025.07.21.1.exe", программа установки, связанная с решением Huorong security solution. Эта программа установки содержит инструменты, такие как HRSword, которые, как известно, ослабляют или обходят меры безопасности конечных точек. В предыдущих примерах аналогичного использования локальных серверов SharePoint также использовались решения Huorong для обеспечения безопасности.

Более того, методология использования, продемонстрированная хакерами, включала запуск "rundll32.exe" для внедрения шеллкода в процессы через рабочий процесс IIS, тем самым загружая конфигурацию FRP. Всестороннее использование уникальных методов и сигнатур вредоносного ПО позволяет предположить причастность хакеров, говорящих на китайском языке, хотя конкретная причина остается неясной.

В ответ на эти выводы WithSecure предприняла активные меры по привлечению различных заинтересованных сторон, включая государственные сертификаты и отраслевых партнеров. Они сообщили, что их решения для обеспечения безопасности уже блокировали попытки злоумышленников до начала кампании по использованию.

#ParsedReport #CompletenessLow
25-07-2025

ToolShell Aftermath: What Defenders Should Do After Patching CVE-2025-53770

https://www.nextron-systems.com/2025/07/25/toolshell-aftermath-what-defenders-should-do-after-patching-cve-2025-53770/

Report completeness: Low

Threats:
Toolshell_vuln
Thor

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1059.001, T1078, T1105, T1140, T1190, T1505.003, T1552.004

IOCs:
File: 3
Path: 5

Soft:
Event Tracing for Windows, SharePoint server, ASP.NET

Algorithms:
base64

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
have more...
https://github.com/SigmaHQ/sigma/pull/5537/files
https://github.com/Neo23x0/signature-base/blob/master/yara/expl\_sharepoint\_jul25.yar
https://github.com/Neo23x0/signature-base/blob/60a9c5269564f11ac05f8e828283a1716c89ed21/yara/gen\_webshells.yar#L5078

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53770 предоставляет доступ к серверам SharePoint без проверки подлинности RCE, что позволяет злоумышленникам развертывать веб-оболочки для кражи учетных данных и утечки ключей. Механизмы обнаружения, включая правила YARA и Sigma, имеют жизненно важное значение для выявления потенциальных угроз, что подчеркивает необходимость проведения оценки после обновления для обеспечения целостности системы.
-----

Цепочка уязвимостей ToolShell, идентифицированная как CVE-2025-53770, представляет значительный риск для локальных серверов SharePoint, поскольку позволяет выполнять удаленный код без проверки подлинности (RCE). Злоумышленники используют эту уязвимость для установки вредоносных веб-оболочек ASPX на скомпрометированные серверы, к которым впоследствии можно получить доступ без учетных данных для входа, что облегчает дальнейшую эксплуатацию, включая кражу криптографических ключей. Dropper использует PowerShell для записи декодированных полезных данных base64 на диск, при этом имена файлов веб-оболочки обычно включают такие варианты, как “spinstall0.aspx” и “ghostfile399.aspx”, которые можно найти в определенных путях к файлам в структуре каталогов SharePoint.

Обнаружение таких угроз и реагирование на них подчеркивают необходимость не только исправления уязвимостей, но и внедрения надежных механизмов обнаружения. Подход Nextron подчеркивает важность создания структурированной информации об обнаружении, включающей метаданные, теги семейств вредоносных программ и ссылки на хакеров. Такие инструменты, как THOR, сканер по запросу, поддерживают всесторонний анализ с помощью правил YARA и Sigma, позволяя обнаруживать различные артефакты, включая деревья текущих процессов и состояния реестра. Эта возможность позволяет выявлять потенциальные угрозы, которые могут быть упущены из виду при использовании других традиционных методов сканирования. Кроме того, Aurora, легкий агент для конечных точек в режиме реального времени, обеспечивает мгновенный контроль за действиями конечных точек, не полагаясь на уже существующие журналы, что обеспечивает сохранение критически важных возможностей обнаружения даже в условиях ограниченных возможностей.

Учитывая природу неавторизованного удаленного доступа, предоставляемого ToolShell, организациям, имеющим незащищенные серверы SharePoint, настоятельно рекомендуется опасаться возможного взлома. Ключевыми признаками успешного взлома являются наличие вредоносных веб-оболочек, сбор учетных данных и несанкционированный доступ к криптографическим ключам. Таким образом, даже при отсутствии предупреждений EDR или всестороннего ведения журнала, оценка компрометации после обновления становится необходимой для проверки целостности системы и обнаружения любых сохраняющихся угроз. Этот процесс проверки помогает организациям избежать использования "черных ходов", которые могут быть использованы, подчеркивая критическую важность интеграции таких оценок в общую стратегию реагирования на инциденты.

#ParsedReport #CompletenessMedium
25-07-2025

Reverse engineering a Lumma infection

https://labs.withsecure.com/publications/reverse-engineering-a-lumma-infection.html

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Process_injection_technique
Heavens_gate_technique
Lolbin_technique
Clickfix_technique

Geo:
Japan, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1057, T1059.003, T1071.001, T1082, T1105, T1119, T1140, T1204.002, have more...

IOCs:
File: 17
Coin: 2
Path: 1

Soft:
Telegram, Steam, DiscordCanary, DiscordPTB, curl

Algorithms:
base64, sha256, xor, chacha20

Functions:
Main, LookupPointer, eval, CallWindowsProcA

Win API:
VirtualProtect, CallWindowProcA, GetProcAddress, LoadLibraryA, LoadLibraryW, LoadLibrary, CreateProcessW, VirtualAlloc, GetThreadContext, ReadProcessMemory, have more...

Languages:
powershell, python, dotnet

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 11, table: 2, code: 32, dump: 62, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma - это вредоносная программа для кражи информации, связанная с начальными загрузчиками .NET /C#, использующая такие методы, как удаленное внедрение процессов и командно-контрольная связь для утечки данных. В нем используются сложные методы, в том числе хеширование по протоколу SHA-256 и расшифровка ChaCha20, которые часто распространяются через Telegram и привязаны к брокерам начального доступа. Согласно последним отчетам, в период с марта по май 2025 года по всему миру было взломано более 394 000 компьютеров с Windows.
-----

Lumma - это вредоносная программа для кражи информации, которая набрала популярность за последние пару лет и с которой часто сталкивается команда обнаружения и реагирования WithSecure. В недавнем анализе заражение Lumma было связано с первоначальным загрузчиком, разработанным на .NET/C#, и было рассмотрено в выборках в период с февраля по март 2025 года. Заражение обычно происходит по вектору атаки, когда хакеры извлекают учетные данные пользователей, возможно, с помощью фишинга или использования средств для кражи информации, таких как Lumma, часто при содействии брокеров начального доступа (IAB), которые помогают получить доступ к целевым системам.

Вредоносная программа, которая также имеет версию на C++, находится в разработке с конца 2022 года и распространяется через такие каналы, как Telegram, демонстрируя различные уровни обслуживания. Разработчики программы внедрили технологию упаковки, которая делает ее "полностью необнаруживаемой" (FUD), тем самым препятствуя прямому распространению среди жертв. Последние данные указывают на значительную волну заражений: Microsoft сообщила о более чем 394 000 взломанных компьютерах с Windows по всему миру в период с марта по май 2025 года.

Анализ показал, что Lumma использует сложное поведение, указывающее на наличие сложного вредоносного ПО. Он использует структуры IMAGE_SECTION_HEADER для идентификации и извлечения разделов, специально предназначенных для .КОДОВАЯ часть двоичного файла с помощью методов хэширования с использованием SHA-256. Во время выполнения вредоносная программа создает собственные копии, подключается к различным доменам управления (C2) и известна своей специфической связью с такими платформами, как Steam, что предполагает различные оперативные тактики для утечки данных.

Вредоносная программа использует удаленное внедрение процессов и манипулирует памятью с помощью таких функций, как VirtualAlloc и WriteProcessMemory, чтобы обеспечить успешное извлечение данных и скрытую работу. Он проверяет наличие бинарной упаковки и выполняет несколько предполетных проверок, включая языковые настройки, что указывает на его конструкцию, направленную на ограничение обнаружения и повышение эффективности в целевых средах.

Lumma способна расшифровывать адреса домена C2 с помощью ChaCha20 и инициировать HTTP POST-запросы, что является стандартным поведением для похитителей информации при извлечении данных. Эти действия подчеркивают его многогранные возможности, включая потенциальный доступ к данным через браузер и поиск пользовательских файлов, что свидетельствует о значительной сложности операций по сравнению с обычными вредоносными двоичными файлами.

По мере того как ситуация с кражей информации продолжает развиваться, Lumma демонстрирует адаптивную природу вредоносных программ, использующих обновленные тактики, методы и процедуры (TTP), которые используют хакеры, что делает непрерывный мониторинг и анализ первостепенными для защиты кибербезопасности. Организациям рекомендуется усилить меры безопасности, заблокировав определенные TLD, связанные с такими вредоносными программами, использовать 2FA для защиты конфиденциальных учетных записей и проводить обучение сотрудников борьбе с фишингом для снижения рисков, связанных с такими угрозами, как Lumma.

#ParsedReport #CompletenessLow
26-07-2025

Weekly Threat Infrastructure Investigation(Week29)

https://disconinja.hatenablog.com/entry/2025/07/26/114152

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Redguard_tool
Brc4_tool

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
25-07-2025

Watch out: Instagram users targeted in novel phishing campaign

https://www.malwarebytes.com/blog/news/2025/07/watch-out-instagram-users-targeted-in-novel-phishing-campaign

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Instagram users, Meta users, Instagram business accounts, Influential instagram accounts

ChatGPT TTPs:
do not use without manual check
T1566.001, T1583.001, T1586.002

IOCs:
Email: 6
Domain: 1

Soft:
Instagram, gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании, нацеленной на пользователей Instagram, используются ссылки mailto:, которые используют фильтры электронной почты, избегая вредоносных URL-адресов. Злоумышленники используют методы опечатывания для создания вводящих в заблуждение адресов электронной почты с целью сбора конфиденциальной информации без необходимости обслуживания фишинговых сайтов.
-----

Недавно была выявлена фишинговая кампания, нацеленная на пользователей Instagram, отличающаяся использованием ссылок mailto: вместо более распространенного метода перенаправления пользователей на мошеннические веб-сайты. Фишинговое электронное письмо имитирует законную переписку из Instagram, в нем утверждается о попытке несанкционированного входа в учетную запись пользователя и предлагается набор опций для подтверждения личности или сообщения о подозрительных действиях. Адреса, встроенные в ссылки mailto:, по-видимому, получены с помощью методов опечатывания, при которых злоумышленники регистрируют доменные имена, похожие на авторитетные, но слегка отличающиеся по написанию.

Тактика, используемая в этой кампании, использует распространенные механизмы фильтрации электронной почты, которые обычно помечают или помещают в карантин электронные письма, содержащие вредоносные URL-адреса. Используя mailto: links, злоумышленники могут обойти эти средства защиты, поскольку электронные письма не содержат ссылок на внешние сайты и, следовательно, избегают автоматической проверки репутации. Этот метод снижает операционную нагрузку злоумышленников, поскольку им не нужно создавать и поддерживать фишинговые сайты. Вместо этого они просто отслеживают ответы жертв, проверяя действительность соответствующих адресов электронной почты и подготавливая почву для дальнейших попыток фишинга, направленных на извлечение конфиденциальной информации.

В ходе предыдущих инцидентов были выявлены аналогичные стратегии фишинга, в частности, нацеленные на аккаунты с высокой стоимостью, такие как бизнес-профили Instagram. Сообщается, что в этой конкретной кампании использовались угрозы приостановки действия аккаунта из-за фиктивных нарушений в рекламе, чтобы заставить пользователей соблюдать требования. Скомпрометированные учетные записи не только обогащают злоумышленников, предоставляя им доступ к дальнейшим вредоносным действиям, но и могут быть использованы для получения финансовой выгоды путем требования выкупа за восстановление учетной записи.

Чтобы защититься от подобных мошенничеств, пользователям рекомендуется тщательно проверять источники сообщений электронной почты, особенно тех, которые требуют срочности или вызывают тревогу. Законные компании, такие как Instagram, не будут запрашивать конфиденциальную информацию по электронной почте. Пользователям следует воздержаться от ответа на подозрительные электронные письма, поскольку это подтверждает заинтересованность и может привести к дополнительной проверке. Выполнение поиска или использование таких инструментов, как Malwarebytes Scam Guard, может помочь проверить подлинность таких сообщений. Эта фишинговая кампания подчеркивает эволюционирующую природу хакеров, подчеркивая необходимость того, чтобы пользователи сохраняли бдительность в условиях все более изощренной тактики, применяемой киберпреступниками.