Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Actor d'amenaces de la Tríada Smishing

Actor d'amenaces de la Tríada Smishing

El Mezo el Phishing, Amenaça persistent avançada (APT)
Traduir a:

Des de l'1 de gener de 2024, s'ha vinculat una campanya de smishing a gran escala amb més de 194.000 dominis maliciosos, dirigida a una àmplia gamma de serveis a tot el món. La campanya utilitza missatges SMS enganyosos per enganyar els usuaris perquè divulguin informació confidencial, sovint fent-se passar per infraccions de peatges o paquets lliurats incorrectament.

Tot i que els dominis estan registrats a través d'un registrador amb seu a Hong Kong i utilitzen servidors de noms xinesos, la infraestructura d'atac opera principalment des de serveis al núvol allotjats als Estats Units, cosa que reflecteix una configuració distribuïda globalment.

La tríada Smishing: actors amenaçadors vinculats a la Xina

La campanya s'atribueix a un grup vinculat a la Xina conegut com a Smishing Triad, conegut per inundar dispositius mòbils amb avisos fraudulents. Durant els darrers tres anys, aquestes campanyes han demostrat ser altament rendibles, generant més de mil milions de dòlars per als actors de les amenaces.

Descobriments recents destaquen una evolució significativa en les seves tàctiques. Els kits de phishing s'estan dirigint cada cop més als comptes de corretatge per robar credencials bancàries i codis d'autenticació. Els atacs a aquests comptes es van multiplicar per cinc al segon trimestre del 2025 en comparació amb el mateix període del 2024. Un cop compromesos, els atacants manipulen els preus de les accions mitjançant esquemes de "ramp and dump", deixant un mínim de rastres de paper.

Phishing-as-a-Service: un ecosistema criminal ben engreixat

La Tríada Smishing s'ha transformat d'un simple proveïdor de kits de phishing a una comunitat de phishing com a servei (PhaaS) altament activa, formada per múltiples actors especialitzats:

  • Desenvolupadors de kits de phishing: creen les eines.
  • Corredors de dades: proporcionen números de telèfon objectiu.
  • Venedors de dominis: registren dominis d'un sol ús per allotjar llocs web de phishing.
  • Proveïdors d'allotjament: mantenen els servidors.
  • Els spammers: distribueixen missatges fraudulents a gran escala.
  • Escàners de vida: verifiquen números de telèfon actius.
  • Escàners de llistes de bloqueig: comproven la rotació dels dominis amb les llistes de bloqueig.

Aquest ecosistema permet un desplegament ràpid i una adaptació constant, cosa que dificulta la detecció i la disrupció.

Estratègia de registre de dominis i de rotació de dominis

L'anàlisi revela que gairebé 93.200 dels 136.933 dominis arrel (el 68,06%) estan registrats sota Dominet (HK) Limited. La majoria d'aquests utilitzen el prefix .com, tot i que hi ha hagut un augment en els registres de dominis .gov en els darrers mesos.

La campanya depèn en gran mesura de la ràpida rotació de dominis:

  • El 29,19% dels dominis van estar actius durant dos dies o menys
  • El 71,3% van estar actius durant menys d'una setmana
  • El 82,6% van estar actius durant dues setmanes o menys
  • Menys del 6% va sobreviure més de tres mesos

Aquesta rotació, combinada amb 194.345 FQDN que resolen 43.494 IP úniques (principalment als EUA a Cloudflare), permet als actors d'amenaces evadir contínuament la detecció.

Informació sobre infraestructures i abast global

Les principals conclusions de l'anàlisi d'infraestructures de la campanya inclouen:

  • El Servei Postal dels Estats Units és el servei més suplantat, amb 28.045 FQDN.
  • Els esquers de serveis de peatge dominen, amb aproximadament 90.000 FQDN de phishing.
  • Els dominis que generen el trànsit més alt s'allotgen principalment als Estats Units, seguits de la Xina i Singapur.

Les víctimes són atacades en múltiples sectors, com ara bancs, borses de criptomoneda, serveis de lliurament, forces policials, empreses estatals, serveis de peatges, aplicacions de cotxes compartits, serveis d'hostaleria, xarxes socials i plataformes de comerç electrònic en països com Rússia, Polònia i Lituània.

Les campanyes de suplantació d'identitat del govern sovint redirigeixen els usuaris a pàgines de destinació que reclamen peatges o càrrecs de servei impagats, de vegades aprofitant els esquers de ClickFix per enganyar els usuaris perquè executin codi maliciós disfressat de verificacions CAPTCHA.

Amenaça descentralitzada amb impacte global

La campanya Smishing Triad demostra un abast global i una descentralització. Els atacants registren i recorren milers de dominis diàriament, imitant diversos serveis per maximitzar l'impacte. Les campanyes de Smishing dirigides als serveis de peatge dels EUA representen només una faceta d'una empresa criminal vasta, altament adaptable i rendible que continua evolucionant a escala.

Tendència

Més vist

Carregant...