Новости Disneyland Malware team: как используют Punycode для фишинга?

[Пригоршня]

​

Группа кардеров, целью атак которых становятся преимущественно веб-ресурсы онлайн-банкингов, кошельков и тому подобного, широко использует визуально трудноразличимые фишинговые URL-ссылки с помощью Punycode — интернет-преобразование ссылок, которое позволяет браузерам отображать доменные имена с нелатинскими буквами, например кириллицу или китайские иероглифы.

Иным методом заманивания невнимательных пользователей на мошеннические страницы является намеренное использование орфографических ошибок в адресной строке. Например, с марта 2022 года группа Disneyland использовала домен ushank[.]com, оригиналом которого является сайт банка США usbank.com
Но Диснейленд, помимо намеренных орфографических ошибок, использует Ponycode для создания большего доверия к тому или иному мошенническому сайту. Например, существует такая финансовая американская компания Ameriprise, использующая домен ameriprise.com; домен от Disneyland Team для потенциальных жертв клиентов этой конторы — https://www.xn--meripris-mx0doj[.]com, который отображается в адресной строке как ạmeriprisẹ[.]com (под буквой "a" и второй буквой "e" стоят маленькие точки).

Работу кухни команды Диснейленда отлично показывает Алекс Холден (Alex Holden), основатель консалтинговой фирмы по кибербезопасности из города Милуоки (штата Висконсин, США) Hold Security. Аналитики под руководством Алекса заполучили доступ к веб-панели, которую преступники использовали для мониторинга данных своих жертв (скрин прикреплён к посту). Обследуя панельку можно понять, что банда использовала десятки фиш. доменов на основе Punycode на протяжении большей части этого года.

https://login2.xn--mirtesnbd-276drj[.]com —
отображается в адресной строке браузера как login2.ẹmirạtesnbd[.]com. Оригиналом выступает банк ОАЭ Emirates NDB с сайтом login2.emiratesnbd.com

https://xn--clientchwb-zxd5678f[.]com — подменяет страницу входа на сайт фин. учреждения Чарльза Шваба (Charles Schwab), которым управляет Bank Of America, и выдает целевую страницу cliẹntșchwab[.]com. Оригинал client.schwab.com
Другой домен того же сайта перенаправляет пользователя на тандем из орфографической ошибки и Punycode cliẹrtschwạb[.]com

https://singlepoint.xn--bamk-pxb5435b[.]com — переводит на singlepoint.ụșbamk[.]com и снова фишинг клиентов банка США с оригинальной ссылкой singlepoint.usbank.com. Опять же, тандем из орфографии и Punycode.

Холден говорит, что команда Disneyland русскоговорящие (но не факт, что базируются в России), и она не направлена исключительно на фиш. Группа использует сочетание фишинговых банковских доменов с распространением вредоноса Gozi 2.0/Ursnif. В прошлые годы хакеры из других команд использовали заготовленные web-инъекции, позволяющие в онлайн режиме копировать/перехватывать/отслеживать любые данные, которые пользователи оставляли на фейковой странице. Однако, с развитием систем защитных механизмов в ОС, браузерах и онлайн-банкингов, данные формы фишинга стали труднореализуемыми для хакеров, и поэтому команда Диснейленд ориентируется на изготовление доменов, максимально похожий на оригинал. Но на самом деле поддельный веб-сайт банка, в который встроен вредонос Disneyland Team, передает действия жертвы в браузере на настоящий веб-сайт банка, позволяя злоумышленникам пересылать любые вторичные запросы на вход от банка, такие как секретные вопросы или 2фа.

В инструкции на админ-панели Disneyland Team объясняется, что с помощью отлаженных действий можно заставить жертву снова войти в систему, если та неверно ввела данные от своей учетной записи. Кроме этого, на экран жертвы можно вывести сообщение типа «В настоящее время мы работаем над обновлением нашей системы безопасности. Вы сможете войти в систему, как только таймер с заданным временем истечёт», и не дает человеку зайти на свой аккаунт по истечению двух часов, тем самым давая дополнительное время на опустошение банковских счетов.