Фишинговый набор 16Shop впервые попал в поле зрения ИБ-экспертов еще в ноябре 2018 года. Это сложный коммерческий продукт для фишинга имеет защиту от нелицензионного использования и попыток исследования. Кроме того, он способен адаптировать фишинговые шаблоны к конкретным зараженным устройствам.
Изначально фишинговый набор использовался в основном для атак на пользователей Apple. С помощью вредоносных электронных писем, к которым прилагались файлы PDF, злоумышленники заманивали пользователей на фишинговую страницу, где у жертв спрашивали учетные данные от аккаунта Apple, а также информацию о банковской карте. Письма операторов малвари запугивали потенциальных жертв и гласили, что кто-то пытается войти в систему и внести несанкционированные изменения.
В мае 2019 года специалисты компании McAfee обнаружили новую разновидность 16Shop, ориентированную на пользователей Amazon. Эксперты назвали вредоносный инструмент Amazon Phishing Kit.
Преступники используют ту же тактику, что и раньше, то есть рассылают электронные письма с предупреждениями о якобы подозрительной активности. Эксперты уже обнаружили более 200 URL-адресов, связанных с этой вредоносной кампанией, а также сообщают, что стоящая за разработкой 16Shop группа недавно изменила свое лого на модифицированный логотип Amazon.
Интересно, что 16Shop пользуется такой популярностью на черном рынке, что у этого инструмента даже есть пиратские версии. Хуже того, зараженные бэкдорами. В мае 2019 года аналитики компании Akamai нашли взломанную версию набора, которая работает, но сливает все данные, полученные от жертв, в Telegram своим операторам.