11:09, 17 ноября 2024 г.
375
0
Исследователи из EclecticIQ выявили масштабную фишинговую кампанию, нацеленную на любителей скидок в преддверии Чёрной пятницы. По их оценкам, за атаками стоит китайская группировка SilkSpecter, преследующая финансовые цели.
Кампания охватывает США и Европу, используя заманчивые предложения с большими скидками для сбора личных данных и платёжной информации пользователей.
Атака была нацелена на кражу данных банковских карт, что стало возможным благодаря использованию легитимного процессора Stripe. SilkSpecter использовали эту платформу для обработки реальных платежей, одновременно похищая данные. Сайт выглядел максимально правдоподобно, а язык автоматически подстраивался под местоположение пользователя с помощью Google Translate.
Ранее SilkSpecter уже проводила подобные атаки. Сайты создавались с использованием доменов «.top», «.shop», «.store» и «.vip», маскируясь под легитимные интернет-магазины. На каждом фишинговом сайте были встроены трекеры и пиксели отслеживания (OpenReplay, TikTok Pixel, Meta Pixel), следящие за активностью посетителей.
Чтобы придать сайтам доверительный вид, злоумышленники добавили значок «trusttollsvg», а также использовали скрытый сбор данных с помощью «/homeapi/collect» для фиксации посещений. Собранная информация отправлялась на сервера, контролируемые SilkSpecter.
Инфраструктура рассмотренных атак была построена на китайских серверах и использовала хостинг от китайских провайдеров. Аналитики отметили, что SilkSpecter активно использует домены, зарегистрированные через китайских регистраторов, таких как West263 и Cloud Yuqu LLC. Около 85% IP-адресов маршрутизировались через Cloudflare, что помогало скрыть реальное местоположение атакующих.
В качестве одной из мер защиты эксперты рекомендуют использовать виртуальные банковские карты для покупок в интернете и ограничивать лимиты на транзакции. Это может снизить риск кражи данных в случае компрометации.
