В ходе фишинговой кампании, целью которой были строительный и энергетический секторы, были раскрыты учетные данные. Они были доступны через обычный поиск Google.
Check Point Research опубликовали пост, где описали кампанию, в ходе которой украденные данные слили на скомпрометированные домены WordPress.
Недавняя фишинговая атака началась с нескольких мошеннических шаблонных сообщений. Они имитировали уведомления о сканировании Xerox.
Фишинговые сообщения были созданы на сервере Linux, размещенного на Microsoft Azure, и отправлены через сервисы электронных сообщений PHP Mailer и 1&1. Злоумышленники рассылали спам также через аккаунты электронной почты, которые ранее также были скомпрометированы.
Хакеры также прикрепили HTML-файл, который содержал код на JavaScript. У него была одна функция: скрытая проверка использования пароля. Когда обнаруживали, что пользователь вводит данные, их считывали, а его перенаправляли на легитимную страницу авторизации.
По словам Check Point, домены WordPress использовали в качестве серверов для обработки украденных учетных данных, которые потом индексировались Google.
Check Point уже проинформировали компанию об инциденте.
