29/01/25
Исследование, проведённое Intrinsec CTI, выявило, что этот набор инструментов функционирует на базе панели управления, содержащей .php-страницы и .js-скрипты для сбора данных жертв и их перенаправления на фальшивые страницы.
Основная цель атак — сбор учётных данных через сайты, замаскированные под страницы входа известных компаний из различных секторов, преимущественно банковского дела и логистики. Атаки затронули как западные страны, так и такие регионы, как Саудовская Аравия, Израиль, Южная Африка, Тайвань, Катар и Гватемала. Преступники размещали свои страницы на скомпрометированных доменах, временных хостингах или доменах, имитирующих бренды компаний, пишет Securitylab.
Исследователи Intrinsec CTI разработали методику отслеживания новых доменов, связанных с «Premium Panel», используя данные с незащищённых панелей, такие как токены Telegram и идентификаторы. Это позволило выявить связи между доменами и угрозами, а также определить направленность атак, включая целевые отрасли и страны.
Фишинг остаётся ключевым инструментом начального доступа в арсенале киберпреступников. Удобство и доступность таких инструментов, как «Premium Panel», позволяют даже менее опытным злоумышленникам запускать массовые кампании. Подобный подход приводит к значительному увеличению количества атак в глобальном масштабе.
Эти данные помогают компаниям не только оперативно реагировать на инциденты, но и заблаговременно выявлять потенциальные угрозы, что существенно укрепляет их кибербезопасность.
