Шкідливе електронне розсилання з посиланням на фішинговий сайт

My alt text

Повідомляємо, що продовжуються випадки розсилання шкідливих електронних листів #phishing,
що оформлені у вигляді HTML-листа та містять активне посилання замасковане під зображення pdf-документу на шкідливий фішинговий сайт.
Подібні листи легко обминають системи захисту організації, оскільки не містять явних шкідливих ознак.

Рівень загрози: СЕРЕДНІЙ

Зразки електроних повідомлень:

 

My alt text

My alt text

Детальний опис: 
Поштовий лист  –> HTML -> URL –>  login form –> Phishing
При кліку у тілі листа на зображенні або лінку на завантаження pdf-документу відбувається перехід на шкідливий фішинговий сайт (148.72.198.150)

за посиланням hxxps://maxbpooutsourcing.com/image/%23!%25%5E%23!%25%5E!%23%25%5E!%23@&%5E@!%5E!@!/index.php?X1=xxx@xxx,
де xxx@xxx – це e-mail жертви, що отримала лист.
Після введення паролю та натисканні кнопки "Download" відбувається POST даних, що було введено у поле паролю hxxps://maxbpooutsourcing.com/image/%23!%25%5E%23!%25%5E!%23%25%5E!%23@&%5E@!%5E!@!/l0gin.php

My alt text
My alt text

Індикатори кіберзагроз: 

IP адреса із якої  проходить розсилання
162.144.212.243

HTTP/HTTPS requests
url     hxxps://maxbpooutsourcing.com/image/%23!%25%5E%23!%25%5E!%23%25%5E!%23@&%5E@!%5E!@!/index.php?X1=xxx@xxx
ip     148.72.198.150