Дослідники RiskIQ розповіли, що новий фішинговий набір LogoKit було виявлено на понад 700 унікальних доменах тільки за останній місяць і на 300 за останній тиждень. Цей інструмент дозволяє хакерам змінювати логотипи і текст на фішингових сторінках в режимі реального часу, адаптуючи сайти для конкретних цілей.
У роботі LogoKit покладається на відправку користувачам фішингових посилань, що містять адреси їхньої електронної пошти. І як тільки жертва переходить за такою URL-адресою, LogoKit підтягує логотип компанії зі стороннього сервісу.
«Email-адреса жертви також автоматично підставляється в поле адреси електронної пошти або імені користувача, щоб користувачі вважали, що раніше вже відвідували цей сайт, — пишуть експерти. — Якщо жертва вводить свій пароль, LogoKit виконує запит AJAX, відправляючи її адресу електронної пошти та пароль зовнішнього джерела, а після цього перенаправляє користувача на [законний] корпоративний сайт».
Всього цього шкідливий досягає завдяки вбудованому набору функцій JavaScript, які можуть бути інтегровані в будь-яку стандартну форму входу або складні HTML-документи. Саме це і є основною відмінністю LogoKit від інших наборів для фішингу, оскільки більшості з них потрібні точні до пікселя шаблони, що імітують сторінки аутентифікації конкретних компаній.
Аналітики відзначають, що модульність дозволяє операторам LogoKit організовувати атаки на будь-яку компанію, витрачаючи на це мінімум сил і часу. Так, за останній місяць LogoKit використовувався для створення фейковиї сторінок логіна, що імітують різні сервіси: від звичайних логін-порталів, до підроблених сторінок входу в SharePoint, Adobe Document Cloud, OneDrive, Office 365 і декількох кріптовалютних обмінників.
Оскільки LogoKit дуже малий і компактний, для його роботи практично не потрібна складна настройка серверу, а набір може бути розміщений, в тому числі, на зламаних сайтах або справжніх сторінках компаній, на які націлилися оператори малварі. Гірше того, в силу того, що LogoKit є лише набором JavaScript-файлів, його ресурси можуть бути розміщені навіть на Firebase, GitHub, Oracle Cloud і так далі. Більшість з них включені в білі списки корпоративних середовищ і можуть здатися безпечними, як для захисних рішень, так і для користувачів.