Хакер из налоговой: группировка Fenix использовала клоны сайтов для распространения вредоносного ПО

Латиноамериканская группировка Fenix имитировала сайты налоговых служб Мексики и Чили для похищения данных пользователей. Ничего не подозревающие жертвы попадали на качественные копии веб-ресурсов местных налоговых органов: мексиканской Servicio de Administración Tributaria и чилийской Servicio de Impuestos Internos. Там им предлагалось установить якобы инструмент, который обеспечит безопасную навигацию по порталу.

На деле скачиваемый файл являлся первой ступенью к установке вредоносного ПО. В конце цепочки злоумышленник получал доступ к данным пользователя, включая платежные. Схему вычислили исследователи Metabase Q, которые считают, что доступ к вредоносному ПО хакеры в дальнейшем планируют монетизировать.

Предполагается, что группировка Fenix стояла за фишинговыми компаниями в отношении латиноамериканских правительственных структур как минимум в четвертом квартале 2022 года. Тогда использовался похожий механизм: клоны сайтов, где жертве предлагалось установить ПО для защиты своих данных. Альтернативный метод включал предложение жертве загрузить приложение наподобие AnyDesk.