Оферта за отстъпка за множество лицензи
База данни за заплахи Фишинг Актьорът на Smishing Triad Threat

Актьорът на Smishing Triad Threat

До Mezo през Фишинг, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Мащабна smishing кампания е свързана с над 194 000 злонамерени домейна от 1 януари 2024 г. насам, насочена към широк спектър от услуги по целия свят. Кампанията използва подвеждащи SMS съобщения, за да подведе потребителите да разкрият чувствителна информация, често представяйки се за нарушения на таксите или погрешно доставени пакети.

Въпреки че домейните са регистрирани чрез регистратор, базиран в Хонконг, и използват китайски неймсървъри, инфраструктурата за атака работи предимно от облачни услуги, хоствани в САЩ, което отразява глобално разпределена конфигурация.

Усмихващата се триада: свързани с Китай заплашителни актори

Кампанията се приписва на свързана с Китай група, известна като Smishing Triad, известна с това, че залива мобилни устройства с измамни известия. През последните три години тези кампании се оказаха изключително печеливши, генерирайки над 1 милиард долара за злонамерените лица.

Последните открития подчертават значителна еволюция в техните тактики. Фишинг комплектите все по-често са насочени към брокерски сметки, за да откраднат банкови данни и кодове за удостоверяване. Атаките срещу тези сметки са се увеличили пет пъти през второто тримесечие на 2025 г. в сравнение със същия период на 2024 г. След като бъдат компрометирани, нападателите манипулират цените на акциите, използвайки схеми за „ramp and dump“, оставяйки минимални хартиени следи.

Фишинг като услуга: Добре смазана криминална екосистема

Smishing Triad се е трансформирала от обикновен доставчик на фишинг комплекти в силно активна общност „Фишинг като услуга“ (PhaaS), състояща се от множество специализирани участници:

  • Разработчици на фишинг комплекти – създайте инструментите.
  • Брокери на данни – предоставят целеви телефонни номера.
  • Продавачи на домейни – регистрирайте домейни за еднократна употреба за хостване на фишинг сайтове.
  • Доставчици на хостинг услуги – поддържат сървъри.
  • Спамери – разпространяват измамни съобщения в голям мащаб.
  • Скенери за активност – проверяват активни телефонни номера.
  • Скенери за блокирани списъци – проверяват домейни спрямо блокирани списъци за ротация.

Тази екосистема позволява бързо внедряване и постоянна адаптация, което прави откриването и прекъсването трудни.

Регистрация на домейни и стратегия за отпадане

Анализът показва, че близо 93 200 от 136 933 коренни домейна (68,06%) са регистрирани под Dominet (HK) Limited. По-голямата част от тях използват префикса .com, въпреки че през последните месеци се наблюдава увеличение на регистрациите на домейни .gov.

Кампанията разчита до голяма степен на бърза смяна на домейни:

  • 29,19% от домейните са били активни два дни или по-малко
  • 71,3% са били активни за по-малко от седмица
  • 82,6% са били активни в продължение на две седмици или по-малко
  • По-малко от 6% са оцелели повече от три месеца

Тази промяна, комбинирана със 194 345 FQDN имена, водещи до 43 494 уникални IP адреса (предимно в САЩ в Cloudflare), позволява на злонамерените лица непрекъснато да избягват откриването.

Инфраструктурни анализи и глобален обхват

Ключовите констатации от анализа на инфраструктурата на кампанията включват:

  • Пощенската служба на САЩ е най-персонализираната услуга с 28 045 пълни домейна (FQDN).
  • Примамките за пътни услуги доминират, с приблизително 90 000 фишинг FQDN имена.
  • Домейните, генериращи най-висок трафик, се хостват предимно в САЩ, следвани от Китай и Сингапур.

Жертвите са насочени към множество сектори, включително банки, борси за криптовалута, куриерски услуги, полицейски сили, държавни предприятия, услуги за пътни такси, приложения за споделено пътуване, хотелиерски услуги, социални медии и платформи за електронна търговия в страни като Русия, Полша и Литва.

Кампаниите за представяне за правителствени лица често пренасочват потребителите към целеви страници, на които се твърди за неплатени пътни такси или такси за услуги, като понякога се използват примамки на ClickFix, за да се подведат потребителите да изпълнят зловреден код, прикрит като CAPTCHA проверки.

Децентрализирана заплаха с глобално въздействие

Кампанията „Smishing Triad“ демонстрира глобален обхват и децентрализация. Нападателите регистрират и преминават през хиляди домейни ежедневно, имитирайки разнообразни услуги, за да увеличат максимално въздействието. Smishing кампаниите, насочени към услугите за пътни такси в САЩ, представляват само един аспект от огромно, силно адаптивно и печелившо престъпно начинание, което продължава да се развива в голям мащаб.

Тенденция

Проблем с Pixnapping в Android

Уязвимост
Изследователи по киберсигурност са идентифицирали критична уязвимост, засягаща Android устройства от Google и Samsung, наречена Pixnapping. Тази атака по страничен канал позволява на злонамерено приложение тайно да краде чувствителни данни, включително кодове за двуфакторно удостоверяване (2FA) и времеви линии на Google Maps, като заснема пиксели на екрана без знанието на потребителя. Атаката...

My Weather Tab Browser Extension

Потенциално нежелани програми, Похитители на браузъри
Изследователите са идентифицирали разширение на браузъра, известно като „Моят раздел за времето“. Чрез цялостно изследване беше установено, че това разширение функционира като форма на софтуер за...

Най-гледан

Зареждане...