Поштові розсилання з збором облікових записів користувачів

Повідомляємо, що останнім часом почастішали випадки розсилання шкідливих електронних листів phishing, що містять вкладення таких видів:
PDF-ДОКУМЕНТ, що в свою чергу містить активне посилання на ресурс, де нібито Вам пропонують переглянути документ, але для цього потрібно ввести
- e-mail та пароль (тим самим проводиться збір облікових даних).
HTML-сторінку, що нібито дозволить після авторизації (форма для введення облікових даних), переглянути pdf-документ, а насправді відбувається збір та пересилання цих даних на зловмисні ресурси.
Подібні листи легко обминають системи захисту організації, оскільки не містять явних шкідливих ознак.
Рівень загрози: СЕРЕДНІЙ
Зразки електроних повідомлень:




Детальний опис:
Поштовий лист –> PDF –> URL –> login form –> Phishing

Поштовий лист –> HTML –> URL –> login form –> Phishing
HTML- сторінка містить кодований вміст, після запуску за допомогою методу unescape(str) декодується шляхом заміни 16-річної послідовності симоволів на еквівалентні символи із кодіровки ASCII
Індикатори кіберзагроз:
IP адреса із якої проходить розсилання:
103.192.156.6
212.52.131.4
213.139.0.17
HTTP/HTTPS requests
url hxxp://docusignhe.gq/verification/adobe/
url hxxp://up14.hx7.ru/
url hxxp://nmbdirect.sharepoint.megadoot.com/Adobe/data.php
ATTACHED FILE.html
Filetype HTML document, ASCII text, with very long lines
Mimetype text/html
MD5 021f19be1e1f3dee271cfd734dd302a6
ipsoroka.pdf
Filetype PDF document, version 1.6
Mimetype application/pdf
MD5 fe92bc74719865e54856e688c13eea56
PO Order SV MATERIAL-REQUIREMENTS.pdf
Filetype PDF document, version 1.6
Mimetype application/pdf
MD5 5d49014e4166098a852d4d15e7ec38b4