ThreatNix研究人員發(fā)現(xiàn)一起使用GitHub頁面和定向Facebook廣告的大規(guī)模釣魚活動(dòng)，影響了超過615000用戶。該攻擊活動(dòng)的目標(biāo)是尼泊爾、埃及、菲律賓等國家。研究人員發(fā)現(xiàn)一個(gè)推廣的Facebook 郵件提供了來自尼泊爾電信的3GB 數(shù)據(jù)，該郵件會(huì)將用戶重定向到保存在GitHub頁面的釣魚站點(diǎn)。

??

攻擊活動(dòng)概述

該攻擊活動(dòng)使用了本地化的Facebook郵件和頁面來欺騙合法實(shí)體和定向特定國家的廣告。比如，郵件使用尼泊爾語、提供尼泊爾電信數(shù)據(jù)包來定向攻擊尼泊爾用戶。頁面也使用了尼泊爾電信的圖片和名字，與合法頁面很難區(qū)分。此外，研究人員還發(fā)現(xiàn)了類似的攻擊突尼斯、埃及、菲律賓、巴基斯坦等國家的Facebook 郵件。

??

??

郵件中的鏈接會(huì)將用戶重定向到含有Facebook 登陸頁面的靜態(tài)GitHub頁面網(wǎng)站上。這些GitHub靜態(tài)頁面會(huì)轉(zhuǎn)發(fā)釣魚憑證到兩個(gè)終端，一個(gè)是fires tore數(shù)據(jù)庫，另一個(gè)是釣魚攻擊者所有的域名。

雖然Facebook 采取了一些措施來確保此類釣魚頁面不會(huì)出現(xiàn)在廣告中，但是在本例中，垃圾郵件發(fā)送者使用了指向非惡意頁面的Bitly鏈接，一旦廣告被批準(zhǔn)后，就會(huì)修改為指向釣魚域名。

研究人員共發(fā)現(xiàn)了500個(gè)含有釣魚頁面的GitHub庫，這些釣魚頁面都是該釣魚攻擊活動(dòng)的一部分。這些庫是由不同的賬號(hào)創(chuàng)建的，而且一些頁面已經(jīng)被遺棄了，GitHub頁面已經(jīng)無法再訪問。這些頁面中，創(chuàng)建最早的是在5個(gè)月前，但是有些GitHub可以已經(jīng)被刪除了，因此，研究人員猜測類似的技術(shù)之前已經(jīng)使用過了。

??

與該攻擊活動(dòng)相關(guān)的域名是在2020年4月3日創(chuàng)建的，保存在GoDaddy上。其他4個(gè)域名也屬于同一組織。

受影響的用戶

截止目前，研究人員初步分析有超過61500條記錄，而且該列表在以每分鐘100條記錄的速度快速增長。記錄顯示有超過50個(gè)國家的用戶受到影響。

??

從最新的5萬條數(shù)據(jù)分析來看，top 10國家分布如下所示：

??

本文翻譯自：

https://threatnix.io/blog/large-scale-phishing-campaign-affecting-615000-users-worldwide/