ThreatNix研究人員發(fā)現(xiàn)一起使用GitHub頁(yè)面和定向Facebook廣告的大規(guī)模釣魚(yú)活動(dòng)，影響了超過(guò)615000用戶。該攻擊活動(dòng)的目標(biāo)是尼泊爾、埃及、菲律賓等國(guó)家。研究人員發(fā)現(xiàn)一個(gè)推廣的Facebook 郵件提供了來(lái)自尼泊爾電信的3GB 數(shù)據(jù)，該郵件會(huì)將用戶重定向到保存在GitHub頁(yè)面的釣魚(yú)站點(diǎn)。

??

攻擊活動(dòng)概述

該攻擊活動(dòng)使用了本地化的Facebook郵件和頁(yè)面來(lái)欺騙合法實(shí)體和定向特定國(guó)家的廣告。比如，郵件使用尼泊爾語(yǔ)、提供尼泊爾電信數(shù)據(jù)包來(lái)定向攻擊尼泊爾用戶。頁(yè)面也使用了尼泊爾電信的圖片和名字，與合法頁(yè)面很難區(qū)分。此外，研究人員還發(fā)現(xiàn)了類似的攻擊突尼斯、埃及、菲律賓、巴基斯坦等國(guó)家的Facebook 郵件。

??

??

郵件中的鏈接會(huì)將用戶重定向到含有Facebook 登陸頁(yè)面的靜態(tài)GitHub頁(yè)面網(wǎng)站上。這些GitHub靜態(tài)頁(yè)面會(huì)轉(zhuǎn)發(fā)釣魚(yú)憑證到兩個(gè)終端，一個(gè)是fires tore數(shù)據(jù)庫(kù)，另一個(gè)是釣魚(yú)攻擊者所有的域名。

雖然Facebook 采取了一些措施來(lái)確保此類釣魚(yú)頁(yè)面不會(huì)出現(xiàn)在廣告中，但是在本例中，垃圾郵件發(fā)送者使用了指向非惡意頁(yè)面的Bitly鏈接，一旦廣告被批準(zhǔn)后，就會(huì)修改為指向釣魚(yú)域名。

研究人員共發(fā)現(xiàn)了500個(gè)含有釣魚(yú)頁(yè)面的GitHub庫(kù)，這些釣魚(yú)頁(yè)面都是該釣魚(yú)攻擊活動(dòng)的一部分。這些庫(kù)是由不同的賬號(hào)創(chuàng)建的，而且一些頁(yè)面已經(jīng)被遺棄了，GitHub頁(yè)面已經(jīng)無(wú)法再訪問(wèn)。這些頁(yè)面中，創(chuàng)建最早的是在5個(gè)月前，但是有些GitHub可以已經(jīng)被刪除了，因此，研究人員猜測(cè)類似的技術(shù)之前已經(jīng)使用過(guò)了。

??

與該攻擊活動(dòng)相關(guān)的域名是在2020年4月3日創(chuàng)建的，保存在GoDaddy上。其他4個(gè)域名也屬于同一組織。

受影響的用戶

截止目前，研究人員初步分析有超過(guò)61500條記錄，而且該列表在以每分鐘100條記錄的速度快速增長(zhǎng)。記錄顯示有超過(guò)50個(gè)國(guó)家的用戶受到影響。

??

從最新的5萬(wàn)條數(shù)據(jù)分析來(lái)看，top 10國(guó)家分布如下所示：

??

本文翻譯自：

https://threatnix.io/blog/large-scale-phishing-campaign-affecting-615000-users-worldwide/