Согласно информации сайта 1news.az, сообщает Icma.az. В ходе мониторинга, проведённого Службой электронной безопасности, получены технически

В результате проведённого анализа подготовлено схематическое описание используемой в атаке инфраструктуры, определены IP-адреса и цепочки пе

Расследование показало, что атака начинается с домена, указанного в одном из сообщений, полученных службой: «12320sw[.]com».

Этот домен соответствует IP-адресу 156[.]251[.]247[.]206 (AS40065, CNSERVERS LLC).

Данный IP не предоставляет никакого содержимого напрямую, а перенаправляет пользователя на домен «p726exa[.]eu[.]cc», который, в свою очередь, соответствует IP-адресу 156[.]251[.]247[.]204, находящемуся в той же сети.

В ходе исследования IP-адресов были обнаружены другие аналогичные домены с расширением «.com».

При переходе на эти домены происходят перенаправления на другие домены вида «p726*.eu.cc»**.

При анализе IP-адресов, которым соответствуют несколько доменов «.com» и «.eu.cc», наблюдается общая цепочка фишинговой атаки и определённая закономерность: Домены «12319ar[.]com», «12320se[.]com», «966575[.]com», «796676[.]com», «play-zotysports[.]com» и другие аналогичные соответствуют IP-адресу 156[.]251[.]247[.]206; Каждый из них перенаправляет на случайно сформированные субдомены вида «p726*.eu.cc»**; Домены «p726*.eu.cc»** используются для размещения фишингового контента, и все они находятся на IP-адресе 156[.]251[.]247[.]204.