Фишинговая платформа Kali365, ранее нацеленная на атаки на пользователей Microsoft 365, существенно расширила сферу влияния. Теперь её интересы не ограничиваются корпоративными учётными записями Okta и Microsoft — она также нацелилась на пользователей российского мессенджера МАКС. Об угрозе россиян предупредил портал Anti-Malware.ru.
По информации специалистов из Arctic Wolf, Kali365 трансформировалась в полноценную фишинговую экосистему, обладающую единой структурой управления, административной панелью, возможностью отслеживать кражу токенов в реальном времени и набором шаблонов страниц, адаптированных под разные сервисы. Ранее алгоритм действий был ориентирован на Microsoft 365: жертву вынуждали пройти законную процедуру входа через механизм авторизации устройства, после чего доступные токены попадали в руки злоумышленников. Недавно Kali365 пошла ещё дальше.
Специалисты обнаружили 126 вредоносных хостов, оснащённых одинаковым фишинговым комплектом. Они маскируются под такие сервисы, как Okta SSO, Outlook, системы, напоминающие AWS, Xerox DocuShare, а также под российские платформы, включая Mail.ru, «Яндекс Диск» и «Одноклассники». Но самой яркой новой целью стал МАКС.
Для него злоумышленники разработали отдельный сценарий фишинга, замаскированный под проверку приза. Пользователю предлагается ввести российский номер телефона, после чего ему приходит реальный одноразовый код от МАКС. Далее схема стандартная: поддельная страница просит ввести этот код, а если активирована двухфакторная защита — ещё и дополнительный пароль. В случае выполнения требуемых действий аккаунт жертвы может быть захвачен злоумышленниками за одну сессию. А вместе с ним — сообщения, контакты и прочие данные. Украденная информация автоматически пересылается в Telegram-бот злоумышленников.