Правительственная команда реагирования на чрезвычайные события Украины CERT-UA сообщила о фишинговой атаке. Злоумышленники рассылают в Facebook сообщения, с помощью которых получают доступ к аутентификационным данным пользователей этой социальной сети.
В CERT-UA отмечают, что связь этого фишинга с мощной кибератакой на сайты государственных учреждений и банков, состоявшаяся 15 февраля, не подтверждена.
Изображение: CERT-UA
- CERT-UA выяснили, что сообщения от злоумышленников содержат ссылки, например hxxps://rwi2v[.]eu/Q2llT5wJ. При переходе за ним в мобильном браузере загружается HTML-страница с JavaScript-кодом.
- Выполнение кода приведет к открытию браузером другого URL-адреса с доменом — 87yc[.]xyz.
- Далее начнет загружаться и выполняться дополнительный JavaScript, имитирующий страницу авторизации Facebook и отправляющий введенные данные пользователя злоумышленникам.
- Если ширина экрана превышает 800 пикселей, ссылка перенаправляется на главную страницу YouTube. В CERT-UA предполагают, что так злоумышленники фильтруют не мобильные устройства.
- За фишинговой атакой, по данным правительственной команды, стоит группа TeamLucernaRD, которая таким образом взламывает и похищает данные пользователей Facebook с ноября 2021 года.
В CERT-UA призывают не переходить по подобным ссылкам и использовать мультифакторную аутентификацию.
