Зловмисники поширюють посилання з шкідливим кодом, тому краще на нього не натискати
В україномовному Facebook віднедавна спостерігається масова фішингова атака. Зловмисники поширюють підозрілі посилання, за допомогою яких отримують доступ до аутентифікаційних даних користувачів. Українців закликають бути уважними і не переходити за незнайомими сайтами, пише dev.ua.
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA з’ясувала, що повідомлення від зловмисників містять шкідливі посилання. Наприклад – hxxps://rwi2v[.]eu/Q2llT5wJ (не клікати!).
Також посилання розсилаються від акаунтів зламаних користувачів їхнім друзям.
У разі переходу за таким посиланням в мобільному браузері завантажується HTML-сторінка з JavaScript-кодом. Виконання коду призведе до відкриття браузером іншої URL-адреси з доменом – 87yc[.]xyz.
Далі почне завантажуватися та виконуватися додатковий JavaScript-код, що імітує сторінку авторизації Facebook та відправляє введені дані користувача зловмисникам.
А якщо ширина екрана перевищує 800 пікселів, посилання перенаправляє на головну сторінку YouTube. У CERT-UA припускають, що так зловмисники фільтрують немобільні пристрої.
За даними CERT-UA, за фішинговою атакою стоїть група TeamLucernaRD, яка таким чином зламує та викрадає дані користувачів Facebook з листопада 2021 року.
СБУ відстежила слід іноземних спецслужб в кібератаці, яка розпочалась на держбанки та урядові установи 15 лютого. Деякі ознаки вказують на зв’язок зловмисників з Росією.