Киберпреступная группировка COLDRIVER продолжает активно заниматься кражей учётных данных у организаций из самых разных отраслей, сообщает команда Microsoft.
Группировка действует с 2017 года и специализируется на создании фишинговых сайтов, имитирующих страницы входа в почтовые сервисы и другие системы. Когда пользователь вводит там свои логин и пароль, злоумышленники их перехватывают и используют для доступа к личным данным и корпоративным системам.
Microsoft заявила, что наблюдала, как злоумышленники используют серверные скрипты для предотвращения автоматического сканирования инфраструктуры, контролируемой участниками, начиная с апреля 2023 года, отходя от hCaptcha для определения интересующих целей и перенаправляя сеанс просмотра на сервер
Evilginx способен обойти множество средств защиты, включая двухфакторную аутентификацию (2FA), благодаря своей способности перехватывать и повторно использовать сеансовые cookie. Этот инструмент может быть использован для проведения целенаправленных атак на пользователей в сети, и поэтому он представляет угрозу для безопасности в сети Интернет.