Из-за фишингового сообщения тысячи паролей доступны через поиск Google

В ходе фишинговой кампании, целью которой были строительный и энергетический секторы, были раскрыты учетные данные. Они были доступны через обычный поиск Google.

Check Point Research опубликовали пост, где описали кампанию, в ходе которой украденные данные слили на скомпрометированные домены WordPress.

Недавняя фишинговая атака началась с нескольких мошеннических шаблонных сообщений. Они имитировали уведомления о сканировании Xerox.

Фишинговые сообщения были созданы на сервере Linux, размещенного на Microsoft Azure, и отправлены через сервисы электронных сообщений PHP Mailer и 1&1. Злоумышленники рассылали спам также через аккаунты электронной почты, которые ранее также были скомпрометированы.

Хакеры также прикрепили HTML-файл, который содержал код на JavaScript. У него была одна функция: скрытая проверка использования пароля. Когда обнаруживали, что пользователь вводит данные, их считывали, а его перенаправляли на легитимную страницу авторизации.

По словам Check Point, домены WordPress использовали в качестве серверов для обработки украденных учетных данных, которые потом индексировались Google.

Check Point уже проинформировали компанию об инциденте.