Исследователи из EclecticIQ обнаружили масштабную фишинговую кампанию, нацеленную на покупателей со скидками в преддверии Чёрной пятницы. По их данным, за этими атаками стоит китайская группа SilkSpecter, преследующая финансовые интересы. Кампания охватывает США и Европу, предлагая заманчивые сделки с большими скидками для сбора личной информации и платёжных данных пользователей.
Атака была направлена на кражу данных банковских карт, что стало возможным благодаря использованию легитимного процессора Stripe. SilkSpecter использовали эту платформу для обработки реальных платежей, в то время как похищали данные. Сайт выглядел крайне правдоподобно, а язык автоматически адаптировался к местоположению пользователя с помощью Google Translate.
Ранее SilkSpecter уже проводила подобные атаки. Сайты создавались с использованием доменов «.top», «.shop», «.store» и «.vip», маскируясь под легитимные интернет-магазины. На каждом фишинговом сайте были встроены трекеры и пиксели отслеживания (OpenReplay, TikTok Pixel, Meta Pixel), следящие за активностью посетителей.
Чтобы придать сайтам доверительный вид, злоумышленники добавили значок «trusttollsvg», а также использовали скрытый сбор данных с помощью «/homeapi/collect» для фиксации посещений. Собранная информация отправлялась на сервера, контролируемые SilkSpecter.
Инфраструктура рассмотренных атак была построена на китайских серверах и использовала хостинг от китайских провайдеров. Аналитики отметили, что SilkSpecter активно использует домены, зарегистрированные через китайских регистраторов, таких как West263 и Cloud Yuqu LLC. Около 85% IP-адресов маршрутизировались через Cloudflare, что помогало скрыть реальное местоположение атакующих.
В качестве одной из мер защиты эксперты рекомендуют использовать виртуальные банковские карты для покупок в интернете и ограничивать лимиты на транзакции. Это может снизить риск кражи данных в случае компрометации.