Исследовательская команда Red Hot Cyber, включая анонимного S.D., тестера проникновения и программиста Davide Cavallini и аналитика по кибербезопасности Davide Santoro, обнаружила, что ссылка в электронном письме перенаправляет на веб-сайт, где размещен поддельный PDF-документ, имитирующий защищённый паролем заказ. Дальнейший анализ показал, что ссылка осуществляет перенаправление через JavaScript, что указывает на постоянную атаку XSS (межсайтовый скриптинг), при которой вредоносный код выполняется в браузере посетителя.
Исследование JavaScript-кода показало, что он собирает данные пользователя через API на другом иранском сайте на WordPress. Эта стратегия атаки не только представляет непосредственную угрозу пользователям, взаимодействующим с фишинговым электронным письмом, но также подчёркивает значительные уязвимости в ИТ-системах некоторых итальянских компаний, подвергая их потенциальным атакам Man-in-the-Middle (MITM).
“Балада Инжектор” использует известную уязвимость CVE-2023-6000 в плагине WordPress Popup Builder, осуществляя XSS-атаки для компрометации целевых веб-сайтов. Red Hot Cyber рекомендует различные меры предосторожности для защиты от этих фишинговых атак, включая обучение пользователей, использование программного обеспечения безопасности, регулярные обновления плагинов и библиотек, а также внедрение строгих политик безопасности.
Возможное участие MuddyWater, иранской APT, активной с 2017 года и известной своим кибершпионажем с использованием как свободно доступных инструментов, так и уникально разработанного вредоносного ПО, требует тщательной оценки и немедленных действий для защиты чувствительных данных и снижения рисков для целостности итальянских бизнес-операций.
Source: Red Hot Cyber
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.