Nova phishing kampanja oponaša članstvo u Amazon Prime-u

Otkrivena je sofisticirana phishing kampanja usmjerena na članove Amazon Prime, s ciljem krađe informacija o kreditnoj kartici i drugih osjetljivih podataka.

Stručnjaci za kibernetičku sigurnost identifikovali su složeni lanac napada koji koristi PDF priloge, preusmjeravanja i pametno izrađene phishing stranice kako bi prevario nesuđene žrtve.

Kampanja počinje sa malicioznim PDF datotekama koje sadrže veze do phishing stranica koje se lažno predstavljaju kao Amazon.

Istraživači su prikupili 31 takvu PDF datoteku, od kojih svaka ima jedinstveni SHA256 hash.

Dok su sigurnosni analitičari u Unit42 primijetili da ovi PDF-ovi preusmjeravaju korisnike putem niza URL-ova, što u konačnici dovodi do lažne stranice dizajnirane za hvatanje informacija o kreditnoj kartici.

Tok napada

Lanac napada obično prati ovaj obrazac: –

1. Korisnici primaju e-poštu s PDF prilogom

2. PDF sadrži vezu do početnog URL-a

3. Ovaj URL preusmjerava na poddomenu duckdns[.]org

4. Stranica za krađu identiteta tada pokušava ukrasti podatke o kreditnoj kartici

Istraživači su identifikovali nekoliko ključnih komponenti ove phishing operacije:

• PDF hešovi : 31 jedinstveni SHA256 heš je povezan sa malicioznim PDF datotekama.
• Početni URL-ovi : Većina veza u PDF-ovima upućuje na poddomene duckdns[.]org, a nekoliko koristi redirectme[.]net.
• Tehnike maskiranja : phishing web stranice koriste prikrivanje za preusmjeravanje skeniranja i pokušaja analize na benigne stranice.

• Infrastruktura : Domeni za početne URL-ove i posredne URL-ove za postavljanje često se hostuju na istim IP adresama.

Tipičan tok napada koji je uočen 24. januara 2025. tekao je na sljedeći način:

1. hxxps[:]//redixajcdkashdufzxcsfgfasd.duckdns[.]org/CCq8SKn
2. hxxps[:]//ahyewifjksdhfjhjgsdfhjdsasdzxcs.duckdns[.]org/?verify
3. Više CSS i favicon zahtjeva za oponašanje legitimnih Amazon stranica
4. Konačna stranica za krađu identiteta : hxxps[:]//ahyewifjksdhfjhjgsdfhjdsasdzxcs.duckdns[.]org/security-check/secure?_ts=e69618fc9

Domet kampanje je značajan, s preko 1.230 novih domena povezanih s Amazonom koji se pojavljuju samo u junu 2024. Alarmantno, 85% ovih domena je označeno kao zlonamjerno ili sumnjivo.

Ovaj porast registracije domena poklapa se s pristupom velikih šoping događaja kao što je Amazon Prime Day, što ukazuje na namjeru napadača da iskoriste povećanu aktivnost kupovine na mreži.

Za borbu protiv ove prijetnje, stručnjaci preporučuju poduzimanje nekoliko mjera opreza. Pažljivo proučite URL-ove, posebno one za koje se tvrdi da su s Amazona, i uvjerite se da web stranice koje posjećujete koriste HTTPS i prikazuju ikonu katanca radi sigurnosti.

Budite oprezni s e-porukama koje podstiču hitnu akciju ili zahtijevaju osjetljive informacije, jer to mogu biti pokušaji krađe identiteta. Zaštitite svoj Amazon račun korištenjem jakih, jedinstvenih lozinki i omogućavanjem višefaktorske provjere autentičnosti kad god je to moguće.

Amazon je naveo da je pokrenuo uklanjanje više od 40.000 phishing web stranica i 10.000 telefonskih brojeva korištenih u šemama lažnog predstavljanja 2023. godine.

Kompanija također koristi naprednu tehnologiju za verifikaciju e-pošte kako bi pomogla korisnicima da identifikuju autentičnu Amazon komunikaciju.

Izvor: CyberSecurityNews