Останніми днями українці масово отримували підозрілі посилання. Дослідження підтвердило небезпеку таких розсилок.
Про це повідомила урядова команда реагування на надзвичайні події CERT-UA на своїй сторінці.
Команда отримала інформацію про масове поширення підозрілих посилань (таких як hxxps://rwi2v[.]eu/Q2llT5wJ). Дослідивши їх, експерти з'ясували, що у разі відкриття такого посилання браузер мобільного пристрою здійснює завантаження сторінок та кодів, що імітують сторінку авторизації Facebook та здійснює ексфільтрацію введених аутентифікаційних даних.
Якщо ширина екрана більше 800 пікселів відбувається перенаправлення на головну сторінку веб-сайту hxxps://www.youtube[.]com/. Експерти припустили, що таким чином відбувається фільтрація не мобільних пристроїв.
Читай також: Змініть паролі: затримано хакерів, які продавали дані 50 тис. українців
За інформацією команди, доменне ім'я rwi2v[.]eu створено 4 лютого 2022 року та асоційовано з email-адресою theone2716@gmail[.]com, як і ще 7 подібних доменних імен, створених у листопаді – грудні 2021 року.
"Подібна активність здійснюється невстановленою групою осіб, які називають себе "TeamLucernaRD", не пізніше листопада 2021 року з метою викрадення аутентифікаційних даних користувачів Facebook ", - повідомляє CERT-UA.
При цьому команда уточнила, що зв'язок цієї активності з атакою хакерів на інформаційні ресурси 15лютого 2022 року не підтверджений і закликав "не переходити за підозрілими посиланнями і використовувати мультифакторну автентифікацію".
Раніше Realist.online повідомляв, що Міноборони розкрило нові деталі кібератаки.
