Крупномасштабная фишинговая активность с использованием сотен доменов для кражи учетных данных для Naver, похожей на Google онлайн-платформы в Южной Корее, показывает дублирование инфраструктуры, связанное с ботнетом TrickBot.
Ресурсы, используемые для этой атаки, показывают огромные усилия киберпреступников по сбору данных для входа в систему, которые будут использоваться в различных атаках.
Как и Google, Naver предоставляет разнообразный набор услуг, от веб-поиска до электронной почты, новостей и онлайн-платформы вопросов и ответов.
Считается, что в операции TrickBot недавно сменилось руководство, и ее старый партнер, синдикат вымогателей Conti, перешел к его рулю. Исследователи связали с операцией 542 уникальных домена, 532 из которых использовались для фишинга на тему Naver. Они заметили, что оператор будет использовать адрес электронной почты для регистрации набора доменных имен, которые разрешаются в один IP-адрес.
Злоумышленник использовал несколько адресов для создания регистраций для кампании Naver. Некоторые из доменов зарегистрированы совсем недавно, в феврале, а самые старые датированы августом 2021 года.
Домены были частью схемы перенаправления, которая заставляла потенциальных жертв подделывать страницы входа в систему для платформы Naver. По данным исследователей, злоумышленники не планируют ограничиться фишингом на Naver, а включить в кампанию и другие популярные платформы, возможно даже европейские.
