Фишеры используют Azure Front Door для кражи учеток SendGrid и Amazon

Татьяна Никитина 21 Июня 2022 - 20:27

...

Фишеры используют Azure Front Door для кражи учеток SendGrid и Amazon

Наблюдатели из Resecurity зафиксировали резкий рост объемов фишингового контента, доставляемого с помощью облачной CDN-службы Microsoft — Azure Front Door (AFD). Ресурсы, предназначенные для перехвата учетных данных из email-клиентов и бизнес-приложений, имитируют различные сервисы, якобы легитимно созданные в домене azurefd.net.

По данным Resecurity, текущая киберкампания стартовала еще в марте. На тот момент фишеров в основном интересовала клиентура японских сервис-провайдеров, и они использовали VPS-хостинг Kagoya. В июне атаки возобновились, на сей раз на базе AFD и с большим размахом.

Ссылки на поддельные веб-ресурсы распространяются традиционным способом — через спам, отправляемый с взломанных персональных и бизнес-аккаунтов. Чаще всего при этом используется форма уведомления о задолженности.

В ходе текущих атак эксперты выявили множество специально созданных доменов. Судя по именам, ловушки ориентированы в основном на пользователей SendGrid, Docusign и Amazon, а также клиентов нескольких крупных компаний Японии и Ближнего Востока. Из-за использования известного бренда и привязки к CDN-сети некоторые фейки очень трудно распознать:

gridapisignout[.]azurefd[.]net
amazon-uk[.]azurefd[.]net
webmailsign[.]azurefd[.]net
onlinesigninlogin[.]azurefd[.]net
owasapisloh[.]azurefd[.]net
docuslgn-micros0ft983-0873878383[.]azurefd.net

Вредоносные сценарии, предназначенные для сбора учетных данных из веб-форм, хостятся на различных взломанных веб-ресурсах. Имена доменов при этом тоже поддерживают иллюзию легитимности: они содержат имя известной компании, которое слегка искажено по методу тайпсквоттинга. Примечательно, что в исходниках всех скриптов присутствует ссылка на сервер-агрегатор, поднятый в TLD-зоне .click или .xyz; данные о регистрации доменов получить не удалось: в WHOIS они скрыты.

Список доменов, используемых для фишинга, и дополнительную информацию исследователи передали Microsoft. Все выявленные поддельные ресурсы уже недоступны.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 17 Сентября 2025 - 13:46

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Государство

3 года тюрьмы: в США пересмотрели приговор админу BreachForums

Министерство юстиции США объявило о пересмотре приговора Конору Брайану Фицпатрику, 22-летнему жителю Пикскилла (штат Нью-Йорк). Он получил три года тюрьмы за создание и администрирование BreachForums — одного из крупнейших англоязычных хакерских форумов.

Кроме того, его признали виновным в хранении материалов с несовершеннолетними — преступления, которое прокуроры назвали наносящим «неисчислимый» ущерб.

BreachForums появился в марте 2022 года, сразу после закрытия RaidForums. На нём торговали украденными базами данных и конфиденциальной информацией.

По данным Минюста, там размещалось свыше 888 баз с более чем 14 миллиардами записей: от банковских счетов и номеров соцстрахования до логинов и паролей.

Среди самых заметных утечек — данные 200 млн пользователей американской соцсети и информация о 87,7 тыс. участников InfraGard, партнёрской программы ФБР в сфере кибербезопасности.

Изначально Фицпатрик получил минимальное наказание — всего 17 дней заключения. Но в январе 2025 года Апелляционный суд четвёртого округа отменил этот приговор и потребовал нового разбирательства.

В рамках сделки со следствием Фицпатрик согласился передать государству: