ThreatNix研究人员发现了一个使用GitHub页面和有针对性的Facebook广告的大规模网络钓鱼活动,影响了超过615,000名用户。这次攻击的目标是尼泊尔、埃及、菲律宾等国家。研究人员发现一封促销Facebook电子邮件提供了来自尼泊尔电信的3GB数据,该电子邮件将用户重定向到托管在GitHub页面上的钓鱼网站。活动概述该活动使用本地化的Facebook电子邮件和页面来欺骗合法实体并针对特定国家/地区投放广告。例如,该邮件使用尼泊尔语,并提供尼泊尔电信数据包,针对尼泊尔用户。该页面还使用了尼泊尔电信的图片和名称,与正版页面难以区分。此外,研究人员还发现了类似的Facebook邮件攻击突尼斯、埃及、菲律宾、巴基斯坦等国家。电子邮件中的链接将用户重定向到带有Facebook登录页面的静态GitHubPages网站。这些GitHub静态页面会将钓鱼凭证转发到两个端点,一个是firestore数据库,另一个是钓鱼者拥有的域名。虽然Facebook采取了一些措施来确保此类网络钓鱼页面不会出现在广告中,但在这种情况下,垃圾邮件发送者使用了指向非恶意页面的Bitly链接,该页面被修改为指向网络钓鱼域名。研究人员总共发现了500个包含网络钓鱼页面的GitHub存储库,这些页面是该网络钓鱼活动的一部分。这些存储库是由不同的帐户创建的,一些页面已被废弃,GitHub页面已无法访问。这些页面中最早的是5个月前创建的,但一些GitHub可能已被删除,因此研究人员推测之前使用过类似的技术。与此活动相关的域创建于2020年4月3日,托管在GoDaddy上。其他4个域也属于同一个组织。受影响的用户到目前为止,研究人员初步分析了超过61,500条记录,并且该列表正以每分钟100条记录的速度快速增长。记录显示,50多个国家/地区的用户受到影响。从最新的5万条数据分析,排名前10的国家分布如下:本文翻译自:https://threatnix.io/blog/large-scale-phishing-campaign-affecting-615000-全球用户/
