Ни для кого не секрет, что переход многих людей на удаленную работу в условиях пандемии и многочисленные запреты привели к активному использованию интернет-сервисов по покупке/продаже, предоставлению услуг и сервисов. Естественно, в этих направлениях тут же активизировались мошенники.
Так, например, появился новый фишинговый набор LogoKit. По данным RiskIQ он был обнаружен более чем на 700 уникальных доменах только за последний месяц и на 300 за последнюю неделю. Печально то, что он позволяет злоумышленникам изменять логотипы и текст на фишинговых страницах в режиме РЕАЛЬНОГО ВРЕМЕНИ, адаптируя сайты для своих целей.
LogoKit отправляет пользователям фишинговые ссылоки, которые содержат адрес их электронной почты. Ничего не подозревающий допропорядочный гражданин переходит по этой ссылке. LogoKit тут же подтягивает логотип компании из стороннего сервиса (например, Clearbit или из favicon’ов Google). E-mail жертвы тоже автоматически подставляется в поле адреса электронной почты или имени пользователя. Пользователь считает, что он или она уже посещал данный сайт. Логин есть, осталось ввести пароль, что довольно часто и делается. Подавляющее большинство пользователей использует 1-2, максимум 3, пароля для разных ресурсов. После того, как жертва ввела свой пароль, LogoKit выполняет запрос AJAX, отправляя ее адрес электронной почты и пароль внешнему источнику, а после, наконец, перенаправляет пользователя на [законный] корпоративный сайт. И, вуаля, получены учетные данные.
Большинству программ для фишинга, используемых ранее требовались точные шаблоны, которые имитируют страницы аутентификации той или иной компании. LogoKit «не парится». Он работает через встраиваемый набор функций JavaScript, которые могут быть интегрированы в любую стандартную форму входа или в сложные HTML-документы. Именно это опасно, т.к. JavaScript-файлы могут быть размещены даже на Firebase, GitHub, Oracle Cloud и пр, которые включены в белые списки корпоративных сред и считаются неопасными. Фишка LogoKit – модульность и он вредоносит используя минимум времени и сил. Он мал и компактен, для его работы практически не требуется сложная настройка сервера, и он может быть размещен хакерами, на взломанных сайтах или настоящих страницах компаний.
Из крупных/известных компаний за последний месяц LogoKit использовал фейковые страницы входа для: SharePoint, Adobe Document Cloud, OneDrive, Office 365 и нескольких криптовалютных обменников.