Xakep #305. Многошаговые SQL-инъекции
Аналитики компании FACCT предупредили, что в Telegram набирает обороты новая волна угона аккаунтов. На этот раз злоумышленники нацелены на российских медиаменеджеров, маркетологов, журналистов и пиарщиков, и уже зарегистрировали 462 домена для кражи учетных записей (85 из них — в феврале и еще 162 домена — в марте). Атакующие по-прежнему используют легенды о голосовании в конкурсах, которые ведут на ресурсы с фишинговыми формами для авторизации.
Напомним, что первая волна массовых взломов аккаунтов в Telegram с помощью фишинга началась в еще декабре 2022 года. Тогда по одному из сценариев жертвы получали личное сообщение с просьбой поддержать на конкурсе детских рисунков, вокала или балета крестницу или племянницу отправителя. Ссылка в сообщении вела на фишинговый ресурс с формой для авторизации через Telegram, после чего учетные данные пользователя оказывались в руках у преступников.
Теперь атакующие используют более взрослые сценарии. По словам исследователей, потенциальную жертву добавляют в группу и просят проголосовать в конкурсе «THE BEST PROJECT MANAGER» или «Marketing and PR Specialist». Чтобы такие каналы было труднее обнаружить, злоумышленники называют их «Всем привет», «Добрый день всем», «Доброе утро!» и так далее.
В одном из примеров атаки ссылка вела на домен https://online-happy[.]ru, созданный несколько дней назад, где требовалось выбрать одного из двух кандидатов. Если жертва действительно пыталась проголосовать, происходил редирект на другой ресурс (например, allance-online24[.]ru), где предлагалось авторизоваться в Telegram через QR-код или отправку кода не телефон.
Как только происходит компрометация аккаунта, злоумышленники сразу отвязывают его от текущего номера, и жертва теряет доступ к своим перепискам в мессенджере, контактам и сохраненным сообщениям, фото и видео. Сразу после угона аккаунта предложение поучаствовать в голосовании рассылается по всей базе контактов пострадавшего.
В отчете экспертов на «Хабре» можно найти список, в котором перечислены некоторые из вредоносных доменов для голосования, созданные мошенниками.