Исследователи раскрыли давнюю фишинговую кампанию, использующую текстовые сообщения для обмана жертв. Она оказалась масштабнее и сложнее, чем считалось ранее. Операция, получившая название Smishing Triad, управляется на китайском языке и задействует тысячи злоумышленников, включая десятки активных высокопоставленных участников, сообщил CyberScoop исследовательский отдел Palo Alto Networks.
Подразделение 42 выявило около 195 000 доменов, связанных с этой крайне децентрализованной фишинговой операцией с января 2024 года. Исследователи утверждают, что более двух третей вредоносных доменов зарегистрированы через гонконгского регистратора Dominet (HK) Limited, использующего инфраструктуру системы доменных имен Китая.
Большинство доменов, подвергшихся атаке (58%), размещены на IP-адресах в США, 21% — в Китае, а 19% — в Сингапуре. По данным Подразделения 42, глобальная фишинговая операция направлена на сбор конфиденциальной информации, включая национальные идентификационные номера, домашние адреса, финансовые данные и учетные данные.
Вредоносные домены, состоящие из строк, разделенных дефисами, за которыми следует домен верхнего уровня, создают впечатление, что жертвы посещают легитимный сайт. Эти домены выдают себя за сервисы, работающие во многих критически важных секторах, включая услуги платных дорог , международные финансовые и инвестиционные компании, рынки электронной коммерции и криптовалютные биржи, организации здравоохранения, правоохранительные органы и платформы социальных сетей.
Со временем Smishing Triad изменила свою тактику и привлекла ряд специалистов для поддержки своей деятельности. К ним относятся брокеры данных, продавцы доменов, хостинг-провайдеры, разработчики фишинговых наборов, поставщики платформ, спамеры, рассылающие фишинговые сообщения через мобильные мессенджеры, а также сотрудники службы поддержки, которые проверяют активные номера телефонов, которые могут быть объектом атак.
По словам Чжаньхао Чена, главного исследователя Palo Alto Networks, китайский канал группы в Telegram привлек множество сторонников, поскольку его базовая инфраструктура эффективна, а другие группы угроз также полагаются на продаваемые для широкого использования фишинговые наборы.
Деятельность компании началась как специализированная торговая площадка для фишинговых наборов и превратилась в активное сообщество, поддерживающее масштабную фишинговую экосистему.
За последние шесть месяцев канал Telegram компании Smishing Triad превратился из специализированной торговой площадки с наборами для фишинга в активное сообщество, привлекающее злоумышленников со всей фишинговой экосистемы.
Подразделение 42 не знает, сколько человек получили фишинговые сообщения в ходе этой операции. Тем не менее, исследователи отследили часть инфраструктуры и доменов группировки, какие фишинговые наборы она использует, какой объём трафика она получает и на каких целях фокусируется, отслеживая изменения в соглашениях об именовании доменов.
«Мы не можем точно сказать, сколько жертв мы можем отнести к этой технологии или этой группе», — сказала Ритика Рамеш, старший научный сотрудник Palo Alto Networks. «Но мы знаем, что число доменов растёт с каждым днём, они взаимодействуют с разной инфраструктурой, и что большая часть запросов к этим доменам приходится на домены, размещённые на IP-адресах США».
По данным исследователей, Почтовая служба США является наиболее часто подделываемой службой, охватывая более 28 000 доменов. Агентства по платным дорогам также входят в категорию наиболее часто подделываемых служб, поскольку их деятельность прослежена почти до 90 000 доменов.
По данным Подразделения 42, операция активна и развивается: исследователи отметили значительный скачок в регистрации доменных префиксов, содержащих gov, о чём свидетельствует тенденция к выдаче себя за налоговые органы США и государственные налоговые агентства США за последние пару месяцев. С июня исследователи выявили более 37 000 новых доменов, связанных с кампанией.
По данным Unit 42, срок службы доменов, отслеживаемых как Smishing Triad, короткий — 29% были активны менее двух дней, 71% использовались менее недели и 83% были ликвидированы в течение двух недель.
Реальные последствия операции трудно отследить, и, скорее всего, они проявятся с опозданием, поскольку фишинговые сайты в основном предназначены для кражи данных для потенциальных последующих атак.
«Мы не знаем, сколько сообщений они отправляют и сколько людей их получают», — сказал Рамеш. «Они определённо собирают данные для дальнейшего использования».
Подразделение 42 выявило около 195 000 доменов, связанных с этой крайне децентрализованной фишинговой операцией с января 2024 года. Исследователи утверждают, что более двух третей вредоносных доменов зарегистрированы через гонконгского регистратора Dominet (HK) Limited, использующего инфраструктуру системы доменных имен Китая.
Большинство доменов, подвергшихся атаке (58%), размещены на IP-адресах в США, 21% — в Китае, а 19% — в Сингапуре. По данным Подразделения 42, глобальная фишинговая операция направлена на сбор конфиденциальной информации, включая национальные идентификационные номера, домашние адреса, финансовые данные и учетные данные.
Вредоносные домены, состоящие из строк, разделенных дефисами, за которыми следует домен верхнего уровня, создают впечатление, что жертвы посещают легитимный сайт. Эти домены выдают себя за сервисы, работающие во многих критически важных секторах, включая услуги платных дорог , международные финансовые и инвестиционные компании, рынки электронной коммерции и криптовалютные биржи, организации здравоохранения, правоохранительные органы и платформы социальных сетей.
Со временем Smishing Triad изменила свою тактику и привлекла ряд специалистов для поддержки своей деятельности. К ним относятся брокеры данных, продавцы доменов, хостинг-провайдеры, разработчики фишинговых наборов, поставщики платформ, спамеры, рассылающие фишинговые сообщения через мобильные мессенджеры, а также сотрудники службы поддержки, которые проверяют активные номера телефонов, которые могут быть объектом атак.
По словам Чжаньхао Чена, главного исследователя Palo Alto Networks, китайский канал группы в Telegram привлек множество сторонников, поскольку его базовая инфраструктура эффективна, а другие группы угроз также полагаются на продаваемые для широкого использования фишинговые наборы.
Деятельность компании началась как специализированная торговая площадка для фишинговых наборов и превратилась в активное сообщество, поддерживающее масштабную фишинговую экосистему.
За последние шесть месяцев канал Telegram компании Smishing Triad превратился из специализированной торговой площадки с наборами для фишинга в активное сообщество, привлекающее злоумышленников со всей фишинговой экосистемы.
Подразделение 42 не знает, сколько человек получили фишинговые сообщения в ходе этой операции. Тем не менее, исследователи отследили часть инфраструктуры и доменов группировки, какие фишинговые наборы она использует, какой объём трафика она получает и на каких целях фокусируется, отслеживая изменения в соглашениях об именовании доменов.
«Мы не можем точно сказать, сколько жертв мы можем отнести к этой технологии или этой группе», — сказала Ритика Рамеш, старший научный сотрудник Palo Alto Networks. «Но мы знаем, что число доменов растёт с каждым днём, они взаимодействуют с разной инфраструктурой, и что большая часть запросов к этим доменам приходится на домены, размещённые на IP-адресах США».
По данным исследователей, Почтовая служба США является наиболее часто подделываемой службой, охватывая более 28 000 доменов. Агентства по платным дорогам также входят в категорию наиболее часто подделываемых служб, поскольку их деятельность прослежена почти до 90 000 доменов.
По данным Подразделения 42, операция активна и развивается: исследователи отметили значительный скачок в регистрации доменных префиксов, содержащих gov, о чём свидетельствует тенденция к выдаче себя за налоговые органы США и государственные налоговые агентства США за последние пару месяцев. С июня исследователи выявили более 37 000 новых доменов, связанных с кампанией.
По данным Unit 42, срок службы доменов, отслеживаемых как Smishing Triad, короткий — 29% были активны менее двух дней, 71% использовались менее недели и 83% были ликвидированы в течение двух недель.
Реальные последствия операции трудно отследить, и, скорее всего, они проявятся с опозданием, поскольку фишинговые сайты в основном предназначены для кражи данных для потенциальных последующих атак.
«Мы не знаем, сколько сообщений они отправляют и сколько людей их получают», — сказал Рамеш. «Они определённо собирают данные для дальнейшего использования».
