Шкідливе електронне розсилання з посиланням на фішинговий сайт

Повідомляємо, що продовжуються випадки розсилання шкідливих електронних листів #phishing,
що оформлені у вигляді HTML-листа та містять активне посилання замасковане під зображення pdf-документу на шкідливий фішинговий сайт.
Подібні листи легко обминають системи захисту організації, оскільки не містять явних шкідливих ознак.
Рівень загрози: СЕРЕДНІЙ

Зразки електроних повідомлень:

Детальний опис:
Поштовий лист –> HTML -> URL –> login form –> Phishing
При кліку у тілі листа на зображенні або лінку на завантаження pdf-документу відбувається перехід на шкідливий фішинговий сайт (148.72.198.150)
за посиланням hxxps://maxbpooutsourcing.com/image/%23!%25%5E%23!%25%5E!%23%25%5E!%23@&%5E@!%5E!@!/index.php?X1=xxx@xxx,
де xxx@xxx – це e-mail жертви, що отримала лист.
Після введення паролю та натисканні кнопки "Download" відбувається POST даних, що було введено у поле паролю hxxps://maxbpooutsourcing.com/image/%23!%25%5E%23!%25%5E!%23%25%5E!%23@&%5E@!%5E!@!/l0gin.php



Індикатори кіберзагроз:

IP адреса із якої проходить розсилання
162.144.212.243

HTTP/HTTPS requests
url hxxps://maxbpooutsourcing.com/image/%23!%25%5E%23!%25%5E!%23%25%5E!%23@&%5E@!%5E!@!/index.php?X1=xxx@xxx
ip 148.72.198.150
