Украинцев предупредили о массовом распространении подозрительных ссылок
Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA получена информация относительно массового распространения подозрительных ссылок, например hxxps://rwi2v[.]eu/Q2llT5wJ. По результатам расследования сообщаем следующее.
В случае открытия упомянутой ссылки браузер мобильного устройства осуществит загрузку HTML-страницы. Эта страница содержит JavaScript-код, выполнение которого приведет к открытию браузером другого URL-адреса (домен: 87yc[.]xyz), что, в свою очередь, приведет к загрузке и выполнению дополнительного JavaScript-кода. Во время анализа был подтвержден факт загрузки кода, который имитировал страницу авторизации Facebook и осуществлял эксфильтрацию введенных аутентификационных данных.
В случае, если ширина экрана более 800 пикселей (вероятно, фильтрация не мобильных устройств), будет осуществлено перенаправление на главную страницу веб-сайта hxxps ://www.youtube[.]com/.
Пример исходного кода HTML-страниц приведен на графических изображениях, которые прилагаются.
Заметим, что доменное имя rwi2v[.]eu создано 2022-02-04 и ассоциировано с email- адресом theone2716@gmail[.]com, с которым, в свою очередь, ассоциируют еще 7 похожих доменных имен, созданных в ноябре — декабре 2021 года.
Подобная активность осуществляется неустановленной группой лиц, именующих себя «TeamLucernaRD», не позднее ноября 2021 года с целью похищения аутентификационных данных пользователей Facebook. Отношение данной активности к атаке на информационные ресурсы 15.02.2022 не подтверждено.
Призываем не переходить по подозрительным ссылкам и использовать мультифакторную аутентификацию.
Индикаторы компрометации:
hxxps://87yc[.]xyz/?api=1&lan=fbnewold&ht=1&c=geraldking13&user=geraldking1321
https://87yc[.]xyz/save.php?api=1&lan=fbnewold&ht=1&c=geraldking13&user=geraldking1321
rwi2v[.]eu 2022-02-04
v0k[.]us 2021-11-19
t7s[.]us 2021-11-19
r0m[.]us 2021-11-19
j0r[.]us 2021-11-19
f1r[.]us 2021-11-19
fr7c[.]us 2021-12-11
i0t[.]us 2021-12-11
87yc[.]xyz 2022-02-01
Бухгалтер 911 подчеркивает: содержание авторских материалов может не совпадать с политикой и точкой зрения редакции. Среди авторов материалов, которые публикуются, есть не только представители редакционной команды.
Информация, представленная в конкретной публикации, отражает позицию автора. Редакция не вмешивается в авторские материалы, не редактирует тексты и, следовательно, не несет ответственности за их содержание.
Блоги 
.png?v=1676493689)