Українцям почали надходити підозрілі повідомлення у соціальній мережі Facebook. Про це повідомляє Урядова команда реагування на надзвичайні події України (CERT-UA).
Через повідомлення зловмисники зламують та крадуть дані користувачів мережі.
Спеціалісти з’ясували, що у разі відкриття згаданого посилання, браузер мобільного пристрою здійснить завантаження HTML-сторінки. Ця сторінка містить JavaScript-код, виконання якого призведе до відкриття браузером іншої URL-адреси (домен: 87yc[.]xyz), що, у свою чергу, призведе до завантаження і виконання додаткового JavaScript-коду. Під час аналізу було підтверджено факт завантаження коду, який імітував сторінку авторизації Facebook та здійснював ексфільтрацію введених автентифікаційних даних.
У разі, якщо ширина екрану більше 800 пікселів (вірогідно, фільтрація не мобільних пристроїв), буде здійснено перенаправлення на головну сторінку веб-сайту hxxps://www.youtube[.]com/.
Приклад вихідного коду HTML-сторінок наведено на графічних зображеннях, що додаються.
Фото CERT-UA
«Зауважимо, що доменне ім'я rwi2v[.]eu створене 2022-02-04 та асоційоване з email-адресою theone2716@gmail[.]com, з якою, у свою чергу, асоційовано ще 7 схожих доменних імен, створених у листопаді-грудні 2021 року. Подібна активність здійснюється невстановленою групою осіб, що іменують себе "TeamLucernaRD", не пізніше ніж з листопада 2021 року з метою викрадення автентифікаційних даних користувачів Facebook. Відношення даної активності до атаки на інформаційні ресурси 15.02.2022 не підтверджено.», - повідомили у CERT-UA.
Інші новини: Силовики України спростовують інформацію про вторгнення Росії 16-17 лютого.