Фишинговый инструмент “Premium Panel” используется киберпреступниками в масштабных кампаниях по всему миру. Исследование, проведённое Intrinsec CTI, выявило,что этот набор инструментов функционирует на базе панели управления, содержащей .php-страницы и .js-скрипты для сбора данных жертв и их перенаправления на фальшивые страницы.
Основная цель атак – сбор учётных данных через сайты, замаскированные под страницы входа известных компаний из различных секторов, преимущественно банковского дела и логистики. Атаки затронули как западные страны, так и такие регионы, как Саудовская Аравия, Израиль, Южная Африка, Тайвань, Катар и Гватемала. Преступники размещали свои страницы на скомпрометированных доменах, временных хостингах или доменах, имитирующих бренды компаний.
Исследователи Intrinsec CTI разработали методику отслеживания новых доменов, связанных с “Premium Panel”, используя данные с незащищённых панелей, такие как токены Telegram и идентификаторы. Это позволило выявить связи между доменами и угрозами , а также определить направленность атак, включая целевые отрасли и страны.
Фишинг остаётся ключевым инструментом начального доступа в арсенале киберпреступников. Удобство и доступность таких инструментов, как “Premium Panel”, позволяют даже менее опытным злоумышленникам запускать массовые кампании. Подобный подход приводит к значительному увеличению количества атак в глобальном масштабе.
Эти данные помогают компаниям не только оперативно реагировать на инциденты, но и заблаговременно выявлять потенциальные угрозы, что существенно укрепляет их кибербезопасность.