#ParsedReport #CompletenessHigh
12-06-2026

Interlock and Rhysida within the Ransomware Ecosystem

https://www.ibm.com/think/x-force/interlock-and-rhysida-within-the-ransonware-ecosystem

Report completeness: High

Actors/Campaigns:
Hive0163
Kongtuke
Fin12
Interlock
Vice_society
Unc2565
Storm-0494
Fox_tempest
Storm-0249
Itg25

Threats:
Interlock
Rhysida
Nodesnake
Interlockrat
Junkfiction
Supper_backdoor
Zapcat
Kongtuke
Pkr_mtsi_tool
Endico
Oyster
Textshell
Latrodectus
Inc_ransomware
Gootkit
Socgholish_loader
Clickfix_technique
Mintsloader
Dave_loader
Modelorat
Trickbot
Conti
Emotet
Icedid
Ryuk
Cornflake
Windytwist
Berserkstealer
Ntlmthief_tool
Portstarter
Systembc
Junk_code_technique
Antidebugging_technique
Api_hammering_technique
Vidar_stealer
Dead_drop_technique
Nltest_tool
Donut
Azcopy_tool
Winpmem_tool
Printnightmare_vuln
Advanced-port-scanner_tool
Screenconnect_tool
Sliver_c2_tool
Credphish_tool

Victims:
United states

CVEs:
CVE-2026-20131 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco secure_firewall_management_center (6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.4.0.17)

CVE-2023-36036 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20308)
- microsoft windows_10_1607 (<10.0.14393.6452)
- microsoft windows_10_1809 (<10.0.17763.5122)
- microsoft windows_10_21h2 (<10.0.19041.3693)
- microsoft windows_10_22h2 (<10.0.19045.3693)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1027.002, T1027.016, T1036, T1041, T1053.005, T1059.001, T1068, T1070.004, have more...

IOCs:
Hash: 72
File: 8
Command: 7
Url: 9
Domain: 89
IP: 73

Soft:
Linux, yInstaller, PyInstaller, Microsoft Teams, Microsoft Edge, TryCloudflare, Steam, Telegram, MSSQL, Windows Defender Application Control, have more...

Algorithms:
xor, zip, aes-256, lzma, sha256, rc4, cbc

Functions:
Write-Output

Win API:
VirtualProtect, RefreshPolicy

Languages:
python, javascript, powershell, java, php

Platforms:
x64, arm

Links:
have more...
https://github.com/GhostPack/Certify
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption/tree/main
https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследования групп вымогателей Interlock (Hive0163) и Rhysida показывают, что они используют собственное ВПО, такое как NodeSnake, InterlockRAT и Supper, а также пересекающиеся функциональные возможности, указывающие на общую кодовую базу или совместные усилия. Первоначальный доступ обычно осуществляется через брокеров с использованием методов, таких как Gootloader и SocGholish, а развертывание обеспечивается загрузчиками, такими как Endico и JunkFiction. ВПО использует продвинутые поведения с постоянными бэкдорами, использующими обратные оболочки, а инновации в области криптеров, включая криптер Tomb, улучшают тактики уклонения от обнаружения.
-----

Interlock, идентифицированный как Hive0163, использует собственное ВПО, включая NodeSnake, InterlockRAT и Supper, а также свои варианты ransomware.

Rhysida работает по модели Программа-вымогатель как услуга (RaaS) с 2023 года и использует загрузчик Endico, Broomstick и криптер Tomb.

Наблюдается корреляция с TAG-124, что указывает на возможное сотрудничество между различными злоумышленниками.

Вредоносное ПО NodeSnake служит загрузчиком для получения дополнительных полезной нагрузки и подключается к различным серверам управления (C2).

Первоначальный доступ часто обеспечивается брокерами первоначального доступа (IAB) с использованием таких методов, как Gootloader или SocGholish, которые перенаправляют пользователей на сайты, выглядящие легитимными.

Interlock связан с кампаниями загрузчика JunkFiction, тогда как Rhysida использовала троянизированные установщики для развертывания ransomware с помощью загрузчика Endico.

Поведение ВПО включает многоуровневые методы, при которых загрузчики создают плацдармы и развертывают бэкдор-ВПО для действий после компрометации.

Загрузчик JunkFiction отличается своими универсальными функциями и техниками обфускации.

Supper и InterlockRAT обеспечивают закрепление с использованием обратных оболочек и туннелирования SOCKS5 для скрытных операций.

Supper имеет более широкое применение в различных инцидентах, тогда как InterlockRAT в основном используется для операций Interlock.

Специализированные шифровальщики, такие как Tomb crypter, были разработаны для обхода обнаружения средствами защиты.

Операционные возможности этих угроз относительно сложны, что отражает постоянные инновации в выполнении вредоносного ПО.

#ParsedReport #CompletenessLow
12-06-2026

News - Malware & Hoax - TG Soft Cyber Security Specialist

https://www.tgsoft.it/news/news_archivio.asp?id=1746

Report completeness: Low

Industry:
Financial

Geo:
Italy, Aruba

IOCs:
Email: 5

#ParsedReport #CompletenessLow
09-06-2026

Phishing attacks leverage TikTok, Instagram Reels

https://www.reversinglabs.com/blog/social-media-attacks-phishing

Report completeness: Low

Threats:
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1105, T1204.001, T1204.002, T1204.004, T1585.001

IOCs:
File: 3
Url: 6
Domain: 4
Hash: 1

Soft:
TikTok, Instagram, Microsoft Word, CapCut

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показал, что злоумышленники используют такие платформы Социальные сети, как TikTok и Instagram Reels, для запуска фишинг-атак с помощью обманных обучающих видео, которые якобы предлагают бесплатный премиум-программный продукт. Эти видео часто используют известные бренды и инструкции, которые приводят пользователей к загрузке ВПО, такого как Vidarstealer, стиллер, способный захватывать конфиденциальную информацию. Второй тактика заключается в том, что злоумышленники вовлекают пользователей через комментарии, чтобы построить доверие, прежде чем перенаправить их на вредоносные сайты, что усложняет усилия по обнаружению, поскольку вредоносный контент сливается с легитимным материалом на платформах с недостаточной модерацией.
-----

Недавний анализ выявил тревожную тенденцию, при которой злоумышленники используют платформы социальных сетей, в частности TikTok и Instagram Reels, в качестве векторов для фишинговых атак. Эти злоумышленники применяют короткие видео, которые маскируются под обучающие материалы, предлагающие бесплатный премиум-программный продукт, чтобы заманить пользователей на вредоносные сайты. Контент часто выглядит правдоподобно, используя высокие показатели вовлеченности для преодоления скептицизма и привлечения широкой аудитории.

Как правило, кампании используют две различные стратегии. Первый метод включает вредоносные обучающие видео, созданные аккаунтами, имитирующими достоверные источники, часто подражающими легитимным брендам, таким как Windows. Например, видео может содержать голос, сгенерированный искусственным интеллектом, который инструктирует пользователей, как разблокировать сервис, такой как Spotify Premium, с помощью команд PowerShell. Эти команды, хотя и представлены как безобидные, могут направлять пользователей на загрузку вредоносного ПО, такого как Vidarstealer — известный стиллер, который захватывает конфиденциальные данные, такие как учетные данные и финансовая информация. Vidarstealer имеет заметное присутствие в нескольких операциях киберкриминала и недавно получил обновления для улучшения своих техник уклонения, что делает его значительной угрозой.

Вторая стратегия сосредоточена на взаимодействии с пользователями через комментарии под постами, выглядящими безобидными. После установления доверия с подписчиками злоумышленники могут перенаправлять их на вредоносные сайты или видеоуроки, замаскированные под легитимный контент. Эта тактика использует интерактивную природу Социальные сети и часто сложнее выявляется из-за естественного смешения легитимного и вредоносного контента в ленте пользователя. Кроме того, способность злоумышленников удалять предупреждения от бдительных пользователей усложняет усилия по обнаружению и смягчению последствий.

Характер этих фишинговых атак усугубляется сложностями с сообщением о вредоносном контенте на платформах социальных сетей. Сообщения могут отклоняться алгоритмами или неэффективными процессами модерации, что позволяет вредоносному контенту распространяться без контроля. В результате организации сталкиваются с трудностями в защите от этих эволюционирующих угроз, особенно поскольку традиционные программы осведомленности о фишинге сосредоточены преимущественно на электронной почте, а не на каналах социальных сетей.

Для борьбы с такими атаками организациям следует проводить регулярные аудиты прав пользователей, обеспечивая, чтобы лица, обладающие возможностями установки, были обучены распознавать вредоносное программное обеспечение. Также необходима непрерывно обновляемая подготовка по эволюционирующим тактикам фишинг. Поощрение пользователей сообщать о подозрительном контенте может помочь в сокращении охвата этих злоумышленники, но повышенная бдительность и адаптация к новым векторам угроз на основе Социальные сети будут иметь решающее значение для поддержания безопасности перед лицом этих тактик.

#ParsedReport #CompletenessMedium
11-06-2026

Sniper’s Nest: From Brand Impersonation to Browser Hijacking and CPA Fraud

https://www.group-ib.com/blog/inside-sniperdz-phaas-ecosystem/

Report completeness: Medium

Threats:
Sniper_dz_tool
Cloaking_technique

Victims:
Telecommunications, Financial services, Social media, Streaming services, Gaming marketplaces, Government services, Public figures, Politicians, Middle east and north africa, Algeria, have more...

Industry:
Telco, Government, Entertainment, E-commerce

Geo:
Africa, Algeria, Middle east, Mena

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566.002, T1585.001

IOCs:
Domain: 5
IP: 3
Url: 2

Soft:
Instagram, Steam

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа SniperDz представляет собой сложную киберугрозу, использующую модель фишинг как услуга (PhaaS) для нацеливания на регион Ближнего Востока и Северной Африки (MENA) через тактики социальной инженерии и обманные кампании в социальных сетях. Она предлагает более 80 шаблонов фишинга, нацеленных на популярные сервисы, такие как PayPal и Netflix, применяя такие техники, как маршрутизация трафика через доверенные сайты и продвинутое маскирование для уклонения от обнаружения. Инфраструктура операции поддерживает сбор учетных записей и различные мошеннические схемы, используя методы, такие как манипуляция историей браузера и перенаправление, чтобы максимизировать вовлеченность жертв и монетизацию, имея связи более чем с 900 подозрительными доменами.
-----

Расследование платформы SniperDz выявило сложную киберугрозу, характеризующуюся фишингом как услугой (PhaaS) и злоупотреблением push-уведомлениями. SniperDz функционирует на базе централизованной инфраструктуры, обеспечивающей различные мошеннические действия, в первую очередь направленные на пользователей региона Ближнего Востока и Северной Африки через обманные кампании в социальных сетях, имитирующие известные бренды и публичных деятелей. Платформа предлагает более 80 шаблонов фишинга для популярных сервисов, таких как PayPal, Facebook и Netflix, что позволяет операторам с минимальными техническими навыками развертывать эффективные мошеннические схемы.

Данная операция стратегически использует техники социальной инженерии, применяя поддельные предложения, связанные с финансовой выгодой, для заманивания жертв. Перенаправляя трафик через доверенные промежуточные сервисы, такие как Linktree, злоумышленники скрывают вредоносный характер своих кампаний от автоматизированных систем безопасности. Примечательно, что эти мошеннические схемы включают продвинутые техники маскировки, которые вводят в заблуждение исследователей безопасности, отображая безобидные сообщения об ошибках при обнаружении потенциальных угроз. Жертвы, взаимодействующие с мошенническими страницами, часто манипулируются для подписки на уведомления браузера, что обеспечивает постоянный доступ и позволяет проводить дальнейшие атаки.

Анализ подчеркивает использование повторяющегося публичного ключа VAPID в нескольких кампаниях, что указывает на общую инфраструктуру, характерную для, казалось бы, различных операций. Эта взаимосвязанность доменов и IP-адресов предполагает, что SniperDz функционирует как комплексный механизм монетизации, динамически адаптирующий схемы мошенничества на основе атрибутов жертв, таких как местоположение и устройство. Инфраструктура не только способствует сбор учетных записей, но и координирует схемы, включающие премиальные SMS-подписки, платные звонки и инвестиционные мошенничества, что отражает многогранный подход к генерации доходов.

Технические механизмы, применяемые злоумышленниками, включают манипуляцию историей браузера для создания ложного восприятия контроля навигации, что эффективно удерживает жертв внутри экосистемы мошенничества. Дополнительные техники, такие как tab-under и перенаправление, усиливают их способность поддерживать вовлеченность пользователей и максимизировать монетизацию трафика. Паттерны в инфраструктуре соотносятся с более чем 900 подозрительными доменами, демонстрируя масштаб и операционную широту сети SniperDz.

#ParsedReport #CompletenessHigh
11-06-2026

Inside OnyxC2: The New Stealer Targeting 210 Apps

https://www.blackfog.com/inside-onyxc2-the-new-stealer-targeting-210-apps/

Report completeness: High

Threats:
Onyxc2
Hvnc_tool
Runpe_tool
Dll_sideloading_technique
Bloat_technique
Credential_dumping_technique

Victims:
Consumers, Small finance teams, Small operations teams

Industry:
Financial, Entertainment

TTPs:
Tactics: 3
Technics: 15

IOCs:
File: 4
Hash: 4
Domain: 1
IP: 3

Soft:
Chromium, NVIDIA graphics

Algorithms:
sha256, zip, aes-256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OnyxC2 — это сложный стиллер, выявленный в начале 2026 года, способный собирать учетные данные из примерно 210 приложений, включая веб-браузеры, менеджеры паролей и криптовалютные кошельки. Он использует передовые техники уклонения с показателем избегания обнаружения антивирусами 99%, а его распространение включает поддельные установщики с архивами, защищенными паролем, содержащими вредоносные DLL-файлы, выполняющие маскировку под легитимное программное обеспечение. Набор инструментов также включает модуль удаленного доступа, позволяющий осуществлять постоянный контроль над зараженными системами, что вызывает серьезные опасения в области безопасности как для частных лиц, так и для организаций.
-----

OnyxC2 — это новый обнаруженный стиллер, появившийся в начале 2026 года и предназначенный для масштабного сбора учетных записей. Он предлагает полный пакет продуктов, включающий веб-панель, конструктор полезной нагрузки и многоуровневую модель подписки стоимостью 250 долларов в месяц. Стиллер нацелен примерно на 210 приложений, включая 37 браузеров на базе Chromium и 8 на базе Gecko, 95 расширений Chromium и 14 расширений Gecko (из них 6 предназначены для двухфакторной аутентификации), 5 менеджеров паролей, 17 криптовалютных кошельков, а также различные другие приложения в разных категориях, такие как FTP-клиенты и почтовые клиенты. Эта широкая функциональность позволяет OnyxC2 захватывать значительное количество учетных данных и материалов сессий, необходимых как для частных лиц, так и для бизнеса.

Бинарный файл стиллера разработан на C++ и включает ассемблерный код для прямого доступа к системным вызовам. Он использует уникальную стратегию мутации для каждой сборки, якобы достигая 99% уровня уклонения от обнаружения антивирусами. Статический анализ образцов подтвердил высокую эффективность уклонения, поскольку при первоначальной загрузке на VirusTotal было зафиксировано минимальное количество срабатываний. Набор инструментов OnyxC2 объединяет этот стиллер с модулем удаленного доступа, который включает такие возможности, как HVNC (Hidden Virtual Network Computing), дампинг LSASS и функции обратного шелла через HTTP.

Распространение OnyxC2 включает методичный подход с использованием поддельных установщиков. Вредоносное ПО упаковано в архивы, защищённые паролем, которые имитируют легальные загрузки программного обеспечения, скрывая вредоносные компоненты. В архиве присутствует легальное подписанное приложение рядом с вредоносной библиотекой DLL, созданной для подгрузки (sideloading) при запуске легальной программы. Эта вредоносная библиотека DLL, замаскированная под легальную графическую библиотеку NVIDIA, содержит зашифрованный полезный груз, что затрудняет её обнаружение типичными сканерами из-за размера и обманчивой интеграции.

Детальный анализ структуры бинарного файла показывает, что установщику необходимо лишь разместить вредоносную DLL-библиотеку рядом с легитимно подписанным исполняемым файлом для активации, тем самым избегая традиционных методов эксплуатации. Кроме того, коммуникации с командным центром OnyxC2 (C2) демонстрируют, что каждый бот работает под уникальными токенами, что подтверждает целостность системы между заявленными функциями и реальными заражениями в режиме реального времени.

Последствия возможностей OnyxC2 являются серьезными, позволяя злоумышленникам поддерживать постоянный доступ через украденные сеансовые куки и записи из менеджеров паролей, сводя на нет меры восстановления учетных записей. Общая архитектура OnyxC2 подчеркивает использование передовых техник для уклонения и эксфильтрации данных, вызывая серьезные опасения у пользователей, особенно тех, кто занимает чувствительные роли в организациях. Следовательно, основное внимание по-прежнему уделяется проактивным мерам против кражи данных и продолжению стратегий по блокировке попыток эксфильтрации.

#ParsedReport #CompletenessHigh
11-06-2026

New NPM Supply Chain Campaign Identified : A Multi-Stage Cryptocurrency Malware with More Than 2.7 million Downloads

https://www.cyfirma.com/research/new-npm-supply-chain-campaign-identified-a-multi-stage-cryptocurrency-malware-with-more-than-2-7-million-downloads/

Report completeness: High

Threats:
Supply_chain_technique
Moralis-sdk
Credential_harvesting_technique
Typosquatting_technique

Victims:
Blockchain developers, Web3 projects, Cryptocurrency wallet operators, Cloud native development environments, Ci cd environments, Cryptocurrency infrastructure

Industry:
Financial, E-commerce, Petroleum

TTPs:
Tactics: 10
Technics: 11

IOCs:
File: 14
Url: 2
Coin: 3
IP: 2
Hash: 11

Soft:
Node.js, curl, Docker, GitHub Codespaces, Linux, macOS

Wallets:
coinbase, mainnet

Crypto:
ethereum

Algorithms:
aes-256-gcm, sha1, base64, sha256

Functions:
execSync, setTimeout, shouldRunPayload, getString, spawn

Languages:
javascript, powershell, python

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новоидентифицированная кампания нацелена на разработчиков блокчейна, проекты Web3 и операторов криптовалютных кошельков с использованием вредоносных пакетов npm, включая «moralis-sdk», который имеет более 2,7 миллионов загрузок. Пакеты используют такие техники, как тайпсквоттинг, злоупотребление хуками жизненного цикла npm и многоэтапная доставка ВПО для проведения сбора учетных записей и кражи кошельков. Примечательно, что некоторые пакеты внедряют украденные учетные данные в транзакции Ethereum, а операция использует децентрализованную инфраструктуру для управления, что усложняет обнаружение.
-----

Выявлена новая кампания по компрометации цепочки поставок программного обеспечения, ориентированная на криптовалюту, которая в первую очередь нацелена на разработчиков блокчейна, проекты Web3 и операторов криптовалютных кошельков через серию вредоносных пакетов npm. Исследователи обнаружили в общей сложности одиннадцать подозрительных пакетов, среди которых «moralis-sdk» набрал более 2,7 миллиона загрузок, что значительно усиливает потенциальное воздействие этой угрозы.

Анализ показал, что эти пакеты использовали различные атаки, включая тайпсквоттинг, злоупотребление хуками жизненного цикла npm и многоэтапный механизм доставки ВПО, что позволяло выполнять такие действия, как сбор учетных записей, кражу кошельков и удаленное выполнение полезной нагрузки. В частности, два пакета, «ethers-jss» и «coinbase-wallet-utils», выдавали себя за легитимные инструменты и были предназначены для кражи конфиденциальной информации, такой как Закрытые ключи и мнемонические фразы, через ВПО, встроенное в их код. Эти вредоносные пакеты выполняли свои полез

Дальнейшее исследование пакета "moralis-sdk" показало, что он изначально был опубликован как безобидная версия, прежде чем был вооружен в последующем обновлении. Зашифрованный JavaScript, содержащийся в его скрипте после установки, предназначен для скрытой загрузки и выполнения дополнительных полезной нагрузки, полагаясь на различные легитимные сервисы для маскировки своей вредоносной деятельности. Кроме того, некоторые пакеты в этом кластере использовали инновационный подход на основе блокчейна для эксфильтрация учетных данных, встраивая украденные данные в транзакции Ethereum, чтобы скрыть их перемещения.

В частности, операция также продемонстрировала использование децентрализованной инфраструктуры для целей управления, усложняя усилия по обнаружению, поскольку вредоносное ПО могло динамически обновлять свои методы связи через запросы к блокчейну. Другие выявленные пакеты, такие как "hardhat-deploy-utils" и "defi-sdk-core", участвовали в кампании по краже учетных данных, злоупотребляя процессом установки npm для извлечения переменных среды и конфиденциальных учетных данных разработчиков.

Эта кампания демонстрирует эволюцию тактик, используемых злоумышленниками в сфере цепочки поставок программного обеспечения, в частности их фокус на высокоценных активах, связанных с криптовалютами. Широкое распространение этих пакетов подчеркивает насущную необходимость бдительного управления зависимостями, включая тщательные аудиты пакетов с открытым исходным кодом и повышение осведомленности разработчиков о рисках в цепочке поставок программного обеспечения. В целом, результаты подчеркивают значительную угрозу, направленную на современные среды разработки, что требует конкретных действий для защиты от этих сложных киберугроз.

#ParsedReport #CompletenessLow
11-06-2026

Fake hiring pages abuse FIFA and other major brands to steal work credentials

https://www.gendigital.com/blog/insights/research/fake-hiring-pages-abuse-fifa

Report completeness: Low

Victims:
Job seekers, Companies

ChatGPT TTPs:
do not use without manual check
T1036, T1056.007, T1566, T1583.001

IOCs:
Url: 8

Soft:
Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние фишинговые кампании использовали поддельные страницы найма, в том числе поддельный сайт, имитирующий FIFA для привлечения соискателей. Сайты, такие как hxxps://fifahiring.com, побуждают пользователей предоставлять личные и корпоративные учетные данные под предлогом набора на работу, при этом различные бренды используются аналогичным образом в подобных схемах. Базовый код на этих мошеннических сайтах остается неизменным, что позволяет быстро адаптировать его для разных брендов, сосредотачиваясь на сборе учетных записей у пользователей.
-----

Недавние исследования выявили серию фишинговых кампаний, использующих поддельные страницы найма, с опорой на известные бренды, такие как FIFA, для обмана лиц, ищущих работу. Одним из заметных примеров является поддельный сайт hxxps://fifahiring.com, который выдает себя за FIFA, чтобы заманить соискателей на предоставление своих учетных данных. Страница изначально побуждает пользователей назначать звонки с мнимыми рекрутерами, а когда лица пытаются зарегистрироваться с личными адресами Gmail, сайт запрашивает корпоративный адрес электронной почты, нацеливаясь на более ценные корпоративные учетные записи.

Эта мошенническая тактика вербовки выходит за рамки FIFA, поскольку появились другие варианты с использованием различных брендов. Например, страница, стилизованная под Hays, нацеливалась на учетные данные для входа в Facebook. Анализ показывает, что мошеннические сайты имеют схожий базовый код, что подчеркивает адаптивный характер этой фишинговой схемы. Хотя брендинг FIFA служит привлекательным крючком из-за его привязки к глобальным событиям, механизм фишинговой вербовки остается неизменным, позволяя мошенникам быстро менять логотипы, имена рекрутеров и провайдеров аутентификации, сохраняя при этом тот же фреймворк, предназначенный для сбора учетных данных пользователей.

Для соискателей критически важно проявлять бдительность перед вводом учетных данных на сайтах, связанных с трудоустройством. Проверка домена на легитимность является обязательной, поскольку мошеннические сайты часто используют термины, связанные с наймом, такие как «career» или «portal», вокруг узнаваемых названий брендов. Хотя такие сайты могут выглядеть визуально привлекательно и легитимно, их новые домены вызывают подозрения. Кроме того, рекомендуется использовать программное обеспечение безопасности, оснащенное функциями защиты от веб-угроз и фишинга. Такие инструменты могут заблаговременно блокировать известные вредоносные страницы, что особенно полезно, учитывая, что многие из этих мошеннических доменов могут функционировать в течение коротких периодов, что затрудняет их обнаружение и избегание.