LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
sample_alert

Как всъщност изглежда една тревога.

Всяко откритие се доставя като криминалистичен пакет, а не като еднолайнер. Кликнете между табовете по-долу, за да видите тялото на имейла, доказателствата, които прилагаме, анализираните IOC и суровия мрежов запис.

Отalerts@domainexploitsdetector.io
Доsecurity@yourcompany.com
Тема[HIGH] Drive-by iframe инжекция в shop.yourcompany.com
Дата2026-05-11 14:02:47 UTC
Сериозност9.1 / 10 (ВИСОКА)

Здравейте — открихме потвърдена злонамерена инжекция на страница, която наблюдавате.

Цел: https://shop.yourcompany.com/checkout
Време на откриване: 14:01:09 UTC (закъснение: 98 секунди след инжекцията)
Класификация: Drive-by iframe → SocGholish payload

Страницата зареди скрит iframe, сочещ към cdn-helper-stats[.]xyz/loader.js който изпълни известен SocGholish dropper. Инжекцията изглежда произхожда от компрометирана версия на WordPress плъгина „quick-cart“.

Пълният пакет с доказателства (екранна снимка, HAR, URL за повторение, списък с IOC) е прикачен и може да се види във вашето табло. Препоръчително действие: върнете плъгина до v3.1.4 и сменете всички администраторски пароли, използвани през последните 72 часа.

— ExploitShield // автоматична тревога

Започни мониторинг на моя домейн