Исследовательская компания CTM360, специализирующаяся на кибербезопасности, обнаружила масштабную фишинговую кампанию под названием "М⃰ Mirage". Целью злоумышленников стали компании, использующие М⃰ Business Suite, с намерением захватить контроль над ценными рекламными аккаунтами и официальными страницами брендов.
Масштаб атаки впечатляет: исследователи идентифицировали более 14 000 вредоносных URL-адресов, связанных с этой кампанией. Особую тревогу вызывает тот факт, что почти 78% этих вредоносных ссылок не блокировались браузерами на момент публикации отчета, что значительно повышает риск успешных атак.
Технически злоумышленники используют доверенные облачные платформы, такие как GitHub, Firebase и Vercel, для размещения фишинговых страниц. Эта тактика аналогична недавно обнаруженному Microsoft методу компрометации приложений Kubernetes через злоупотребление облачными сервисами. Параллельно наблюдается схожая фишинговая кампания с использованием Google Sites, где создаются аутентично выглядящие страницы, размещенные на серверах Google.
Атаки "М⃰ Mirage" реализуются двумя основными методами. Первый — классическая кража учетных данных, когда жертвы вводят пароли и одноразовые коды подтверждения на поддельных веб-сайтах. Для повышения эффективности атаки злоумышленники используют фальшивые сообщения об ошибках, вынуждающие пользователей повторно вводить свои данные, что позволяет убедиться в их точности.
Второй метод — кража браузерных cookie-файлов, что позволяет поддерживать доступ к аккаунтам без необходимости повторного ввода паролей. Скомпрометированные аккаунты затем используются для запуска вредоносных рекламных кампаний. Подобная тактика наблюдалась ранее в кампании вредоносного ПО PlayPraetor.
Социальная инженерия играет ключевую роль в успехе "М⃰ Mirage". Злоумышленники мастерски имитируют официальные коммуникации от М⃰, отправляя фальшивые уведомления о нарушениях правил, приостановке аккаунтов или необходимости верификации. Стратегия атаки построена на постепенной эскалации: сначала отправляются мягкие, не вызывающие тревоги уведомления, которые затем сменяются срочными предупреждениями о возможной блокировке или удалении аккаунта. Такой подход создает тревогу и ощущение срочности, заставляя жертв действовать без должной проверки.
Для защиты от подобных атак компания CTM360 рекомендует использовать только официальные устройства для управления бизнес-аккаунтами в социальных сетях. Также важно применять отдельные электронные адреса исключительно для бизнес-целей и обязательно включить двухфакторную аутентификацию (2FA) на всех аккаунтах.
Регулярный аудит настро
Масштаб атаки впечатляет: исследователи идентифицировали более 14 000 вредоносных URL-адресов, связанных с этой кампанией. Особую тревогу вызывает тот факт, что почти 78% этих вредоносных ссылок не блокировались браузерами на момент публикации отчета, что значительно повышает риск успешных атак.
Технически злоумышленники используют доверенные облачные платформы, такие как GitHub, Firebase и Vercel, для размещения фишинговых страниц. Эта тактика аналогична недавно обнаруженному Microsoft методу компрометации приложений Kubernetes через злоупотребление облачными сервисами. Параллельно наблюдается схожая фишинговая кампания с использованием Google Sites, где создаются аутентично выглядящие страницы, размещенные на серверах Google.
Атаки "М⃰ Mirage" реализуются двумя основными методами. Первый — классическая кража учетных данных, когда жертвы вводят пароли и одноразовые коды подтверждения на поддельных веб-сайтах. Для повышения эффективности атаки злоумышленники используют фальшивые сообщения об ошибках, вынуждающие пользователей повторно вводить свои данные, что позволяет убедиться в их точности.
Второй метод — кража браузерных cookie-файлов, что позволяет поддерживать доступ к аккаунтам без необходимости повторного ввода паролей. Скомпрометированные аккаунты затем используются для запуска вредоносных рекламных кампаний. Подобная тактика наблюдалась ранее в кампании вредоносного ПО PlayPraetor.
Социальная инженерия играет ключевую роль в успехе "М⃰ Mirage". Злоумышленники мастерски имитируют официальные коммуникации от М⃰, отправляя фальшивые уведомления о нарушениях правил, приостановке аккаунтов или необходимости верификации. Стратегия атаки построена на постепенной эскалации: сначала отправляются мягкие, не вызывающие тревоги уведомления, которые затем сменяются срочными предупреждениями о возможной блокировке или удалении аккаунта. Такой подход создает тревогу и ощущение срочности, заставляя жертв действовать без должной проверки.
Для защиты от подобных атак компания CTM360 рекомендует использовать только официальные устройства для управления бизнес-аккаунтами в социальных сетях. Также важно применять отдельные электронные адреса исключительно для бизнес-целей и обязательно включить двухфакторную аутентификацию (2FA) на всех аккаунтах.
Регулярный аудит настро