Мошенники разместили фишинговую страницу PayPal на правительственных сайтах

Максим Пушкарь 24 Мая 2013 - 18:15

...

Неизвестные мошенники разместили фишинговую страницу Paypal на одном из сайтов, принадлежащих правительству КНР. Поддельная страница входа в систему Paypal размещается на сайте hxxp://www.121.gov.cn по адресу "hxxp://www.121.gov.cn/app/p/index.html".

После того, как ничего не подозревающая жертва киберпреступников вводила свои учетные данные на вышеупомянутой странице, ее перенаправляли на другую страницу, где просили сообщить фамилию, имя, данные кредитной карты, а также другую конфиденциальную информацию. После этого, жертву просили сообщить трехзначный код безопасности, пароль, а также контрольный вопрос для восстановления пароля. Получив все необходимые данные, жертву перенаправляли на страницу с надписью следующего содержания: "Your information has been sent successfully. For your security, you will be automatically logged out.Thank you for using PayPal", а затем на легитимный сайт PayPal.

Следует отметить, что подобная фишинговая страница была также обнаружена на сайте, принадлежащем властям штата Минас-Джерайс, что на востоке Бразилии. Страница находилась по адресу: "hxxx://www.camaramontesanto.mg.gov.br".

По данным сервиса PhishTank, злоумышленники разместили фишинговую страницу на вышеуказанных сайтах в мае этого года. На сайте 121.gov.cn она появилась 8 мая, а на camaramontesanto.mg.gov.br – 23 мая 2013 года.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Июня 2025 - 17:18

Бэкдоры Фишинг Целевые атаки Таргетированные атаки Корпорации Государство F6

Атаки PhantomCore в 2025-м: самописный бэкдор и приманка-договор

Эксперты из департамента киберразведки компании F6 рассказали о новых атаках группировки PhantomCore, которые произошли в мае этого года. Они также нашли следы деятельности этой же группы, датированные 2022 годом, о которых ранее ничего не было известно.

Специалисты проследили, как со временем менялись инструменты и цели атак: если изначально злоумышленники занимались кражей, повреждением и уничтожением данных, то ближе к 2024 году они переключились на шифрование инфраструктуры и вымогательство денег.

PhantomCore нацелена в основном на российские и белорусские компании. Впервые её активность зафиксировали в 2024 году. Отличительная черта этой группировки — использование самописных программ.

Судя по их количеству и разнообразию, у PhantomCore есть команда разработчиков, которая регулярно совершенствует инструменты и отслеживает новые уязвимости.

Во время анализа инфраструктуры PhantomCore специалисты F6 нашли пересечения в регистрационных данных доменов. Это позволило выявить дополнительные ресурсы и связанные с ними образцы вредоносных файлов, датируемые 2022 годом.

Тогда группа распространяла файл VALIDATOR.msi, в котором находились троян StatRAT и исполняемый файл-приманка, маскирующийся под легитимную утилиту «Валидатор 1.0» для проверки сетей на соответствие федеральному закону. StatRAT позволял выполнять команды с управляющего сервера, извлекать данные и удалять файлы на заражённой системе.

В 2025 году PhantomCore продолжила дорабатывать свои инструменты и переписывать их на разные языки программирования. 5 мая благодаря системе почтовой защиты F6 удалось выявить и заблокировать вредоносные рассылки, которые связали с этой группой. Письма с темой «Документы на рассмотрение (повторно)» пришли с трёх, вероятно, взломанных доменов. Получателями стали организации из промышленного сектора, энергетики и ЖКХ.

Во вложении находился архив с названием «Документы_на_рассмотрение.zip». Внутри — PDF-файл с договором между двумя компаниями и исполняемый файл, который оказался обновлённой версией бэкдора PhantomCore под названием PhantomeCore.GreqBackdoor v.2.

Мошенники разместили фишинговую страницу PayPal на правительственных сайтах

Читайте также