В ходе мониторинга, проведённого Службой электронной безопасности (СЭБ), были получены технические результаты по фишинговой атаке через Telegram.

Об этом Novoye-vremya сообщает со ссылкой на Службу.

В результате проведённого анализа была составлена схематическая карта используемой в атаке инфраструктуры, выявлены IP-адреса и цепочки перенаправлений, а также получена подробная информация о процессе взлома аккаунтов.

Первый подозрительный домен

Расследование начинается с домена «12320sw[.]com», указанного в одном из сообщений, полученных службой. Этот домен разрешается в IP-адрес «156[.]251[.]247[.]206» (AS40065, CNSERVERS LLC). По этому IP-адресу напрямую контент не предоставляется, вместо этого происходит перенаправление пользователя на домен «p726exa[.]eu[.]cc». Этот домен, в свою очередь, разрешается в IP-адрес «156[.]251[.]247[.]204», который находится в той же сети.

Данные о цепочках перенаправлений и процессе взлома аккаунтов

В ходе исследования IP-адресов были выявлены другие аналогичные домены «.com». При переходе на эти домены происходило перенаправление на другие домены с поддоменами «p726***.eu.cc».

При анализе IP-адресов, к которым разрешаются домены «.com» и «.eu.cc», была обнаружена общая цепочка фишинговой атаки и выявлена закономерность:

• Домены «12319ar[.]com», «12320se[.]com», «966575[.]com», «796676[.]com», «play-zotysports[.]com» и другие аналогичные разрешаются в IP-адрес «156[.]251[.]247[.]206»;

• Все они были перенаправлены на сформированные поддомены «p726***.eu.cc»;

• Домены «p726***.eu.cc» используются для размещения фишингового контента, и все они находятся на IP-адресе «156[.]251[.]247[.]204».

При просмотре кода страницы, на которую перенаправлены пользователи, были обнаружены комментарии на китайском языке.