22/09/22
Аналитики угроз в Palo Alto Networks Unit 42 обнаружили новую фишинговую кампанию, в ходе которой злоумышленник использовал метод «Domain shadowing», выявив 12 197 фишинговых доменов в период с апреля по июнь 2022 года.
Из 12 197 доменов VirusTotal пометил только 200 доменов как вредоносные. 151 домен из них был связан с обнаруженной фишинговой кампанией.
По словам экспертов, техника Domain shadowing представляет собой большую угрозу для предприятия, и ее трудно обнаружить без использования алгоритмов автоматизированного машинного обучения, которые могут анализировать большие объемы журналов DNS.
В ходе кампании были скомпрометированы 16 доменов для создания 649 поддоменов, размещающих поддельные страницы входа или ссылки на фишинговые страницы. Злоумышленники нацелены на учетные данные Microsoft.
Поддомены, которые перенаправляют на фишинговые сайты, могут легко обходить средства безопасности электронной почты, поскольку они не содержат вредоносный контекст и имеют положительную репутацию.
Один владелец домена осознал компрометацию. Однако, на домене уже было создано множество поддоменов, которые способствовали вредоносным операциям в инфраструктуре.
Специалисты сказали, что ответственность за защиту от мошеннических поддоменов несут владельцы доменов, регистраторы и поставщики DNS услуг, но пользователи должны всегда проявлять осторожность при отправке данных.
Поддомен в известном домене может быть вредоносным, и пользователь должен дважды проверять все, прежде чем указывать учетные данные или другую конфиденциальную информацию.
