61萬Facebook憑證被竊取

ang010ela
研究人員共發(fā)現(xiàn)了500個含有釣魚頁面的GitHub庫,這些釣魚頁面都是該釣魚攻擊活動的一部分。這些庫是由不同的賬號創(chuàng)建的,而且一些頁面已經(jīng)被遺棄了,GitHub頁面已經(jīng)無法再訪問。

ThreatNix研究人員發(fā)現(xiàn)一起使用GitHub頁面和定向Facebook廣告的大規(guī)模釣魚活動,影響了超過615000用戶。該攻擊活動的目標是尼泊爾、埃及、菲律賓等國家。研究人員發(fā)現(xiàn)一個推廣的Facebook郵件提供了來自尼泊爾電信的3GB數(shù)據(jù),該郵件會將用戶重定向到保存在GitHub頁面的釣魚站點。

2345截圖20200908083720.png

攻擊活動概述

該攻擊活動使用了本地化的Facebook郵件和頁面來欺騙合法實體和定向特定國家的廣告。比如,郵件使用尼泊爾語、提供尼泊爾電信數(shù)據(jù)包來定向攻擊尼泊爾用戶。頁面也使用了尼泊爾電信的圖片和名字,與合法頁面很難區(qū)分。此外,研究人員還發(fā)現(xiàn)了類似的攻擊突尼斯、埃及、菲律賓、巴基斯坦等國家的Facebook郵件。

2345截圖20200908083720.png

2345截圖20200908083720.png

2345截圖20200908083720.png

郵件中的鏈接會將用戶重定向到含有Facebook登陸頁面的靜態(tài)GitHub頁面網(wǎng)站上。這些GitHub靜態(tài)頁面會轉(zhuǎn)發(fā)釣魚憑證到兩個終端,一個是fires tore數(shù)據(jù)庫,另一個是釣魚攻擊者所有的域名。

雖然Facebook采取了一些措施來確保此類釣魚頁面不會出現(xiàn)在廣告中,但是在本例中,垃圾郵件發(fā)送者使用了指向非惡意頁面的Bitly鏈接,一旦廣告被批準后,就會修改為指向釣魚域名。

研究人員共發(fā)現(xiàn)了500個含有釣魚頁面的GitHub庫,這些釣魚頁面都是該釣魚攻擊活動的一部分。這些庫是由不同的賬號創(chuàng)建的,而且一些頁面已經(jīng)被遺棄了,GitHub頁面已經(jīng)無法再訪問。這些頁面中,創(chuàng)建最早的是在5個月前,但是有些GitHub可以已經(jīng)被刪除了,因此,研究人員猜測類似的技術(shù)之前已經(jīng)使用過了。

2345截圖20200908083720.png

與該攻擊活動相關(guān)的域名是在2020年4月3日創(chuàng)建的,保存在GoDaddy上。其他4個域名也屬于同一組織。

受影響的用戶

截止目前,研究人員初步分析有超過61500條記錄,而且該列表在以每分鐘100條記錄的速度快速增長。記錄顯示有超過50個國家的用戶受到影響。

2345截圖20200908083720.png

從最新的5萬條數(shù)據(jù)分析來看,top 10國家分布如下所示:

2345截圖20200908083720.png

本文翻譯自:https://threatnix.io/blog/large-scale-phishing-campaign-affecting-615000-users-worldwide/

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論