Rozsáhlá phishingová kampaň byla zaznamenána, jak využívá falešné PDF dokumenty hostované na síti pro doručování obsahu Webflow (CDN) s cílem krást informace o kreditních kartách a páchat finanční podvody.
„Útočník cílí na oběti, které hledají dokumenty ve vyhledávačích, což vede k přístupu k škodlivému PDF obsahujícímu obrázek CAPTCHA s vloženým phishingovým odkazem, který je přesměruje k poskytnutí citlivých informací,“ uvedl expert Netskope Threat Labs Jan Michael Alcantara.
Tato aktivita, která probíhá od druhé poloviny roku 2024, zahrnuje uživatele hledající názvy knih, dokumenty a grafy ve vyhledávačích, jako je Google, aby je přesměrovala na PDF soubory hostované na Webflow CDN.
Tyto PDF soubory obsahují obrázek, který napodobuje výzvu CAPTCHA, což způsobuje, že uživatelé, kteří na něj kliknou, jsou přesměrováni na phishingovou stránku, která tentokrát obsahuje skutečnou CAPTCHA Cloudflare Turnstile. Tímto způsobem se útočníci snaží dodat procesu zdání legitimity, čímž oběti oklamou, aby si myslely, že interagovaly s bezpečnostní kontrolou, a zároveň se vyhnou detekci statickými skenery.
Uživatelé, kteří dokončí skutečnou výzvu CAPTCHA, jsou následně přesměrováni na stránku, která obsahuje tlačítko „stáhnout“ pro přístup k údajnému dokumentu. Když se však oběti pokusí tento krok dokončit, zobrazí se jim vyskakovací zpráva, která je vyzve k zadání osobních údajů a údajů o kreditní kartě.
„Po zadání údajů o kreditní kartě útočník odešle chybovou zprávu, která naznačuje, že nebyly přijaty,“ uvedl Michael Alcantara. „Pokud oběť zadá údaje o kreditní kartě ještě dvakrát nebo třikrát, bude přesměrována na stránku s chybou HTTP 500.“
Tento vývoj přichází ve chvíli, kdy společnost SlashNext popsala nový phishingový kit nazvaný Astaroth (nezaměňovat s bankovním malwarem stejného jména), který je nabízen na Telegramu a kyberzločineckých tržištích za 2 000 dolarů výměnou za šestiměsíční aktualizace a techniky obcházení.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS