Новая крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовалют

Чт 11 Август 2022 18:52

Фишинговые страницы, размещенные на сервисах Microsoft Azure и Google Sites рекламируются через комментарии, которые размещаются на легитимных сайтах сетью из ботов, которую контролируют злоумышленники. Такая тактика позволяет увеличить трафик, повысить рейтинг фейкового сайта в поисковых системах и обойти системы автомодерации.

Комментарий со ссылками на фишинговые страницы

Новая кампания была замечена аналитиками компании Netskope , которые отметили, что эта тактика позволила некоторым мошенническим сайтам появиться в качестве первого результата в поиске Google .

Что еще хуже, как показано ниже, Google также включил фишинговые страницы в Выделенные описания, обеспечив им максимальную видимость в результатах поиска.

Фишинговый сайт в виде первого ответа на поисковый запрос

В компании, замеченной Netskope, мошенники создавали сайты, имитирующие Metamask , Coinbase , Gemini и Kraken , чтобы обмануть жертв и получить данные их криптокошельков. Страницы, созданные на Azure и Google Sites – лендинги, которые перенаправляют жертв на настоящие фишинговые страницы после нажатия кнопки “вход”.

Фейковый лендинг криптокошелька Kraken

На фишинговых страницах злоумышленники пытаются украсть учетные данные или seed-фразы жертвы. Вся схема выглядит так:

На всех фишинговых сайтах пользователи вводят свои учетные данные, после чего перенаправляются на фальшивую страницу, которая просить указать жертву свой номер телефона и ввести код из СМС;

Как только пользователь вводит код, сайт выдает фальшивую ошибку о несанкционированной активности и проблемах с авторизацией, заставляя жертву нажать на кнопку "Обратиться к эксперту";

После этого жертва попадает на страницу с онлайн-чатом, где мошенник, выдающий себя за работника технической поддержки, заставляет жертву установить TeamViewer.

После этого злоумышленник может получить удаленный доступ к устройству жертвы, а затем собрать коды многофакторной аутентификации, необходимые для входа в аккаунты жертвы на криптобиржах.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 11 часов 38 минут 30 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.