Ηθοποιός Απειλής Smishing Triad
Μια μεγάλης κλίμακας καμπάνια smishing έχει συνδεθεί με πάνω από 194.000 κακόβουλα domains από την 1η Ιανουαρίου 2024, στοχεύοντας ένα ευρύ φάσμα υπηρεσιών παγκοσμίως. Η καμπάνια αξιοποιεί παραπλανητικά μηνύματα SMS για να ξεγελάσει τους χρήστες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες, συχνά παρουσιάζοντας ως παραβάσεις διοδίων ή λανθασμένα παραδομένα δέματα.
Παρά το γεγονός ότι τα domains έχουν καταχωρηθεί μέσω ενός καταχωρητή με έδρα το Χονγκ Κονγκ και χρησιμοποιούν κινεζικούς nameservers, η υποδομή επίθεσης λειτουργεί κυρίως από υπηρεσίες cloud που φιλοξενούνται στις ΗΠΑ, γεγονός που αντικατοπτρίζει μια παγκοσμίως κατανεμημένη εγκατάσταση.
Πίνακας περιεχομένων
Η Τριάδα Smishing: Απειλές που συνδέονται με την Κίνα
Η εκστρατεία αποδίδεται σε μια ομάδα που συνδέεται με την Κίνα, γνωστή ως Smishing Triad, η οποία είναι διαβόητη για τον κατακλυσμό των κινητών συσκευών με δόλιες ειδοποιήσεις. Τα τελευταία τρία χρόνια, αυτές οι εκστρατείες έχουν αποδειχθεί εξαιρετικά κερδοφόρες, αποφέροντας περισσότερα από 1 δισεκατομμύριο δολάρια για τους απειλητικούς παράγοντες.
Πρόσφατα ευρήματα υπογραμμίζουν μια σημαντική εξέλιξη στις τακτικές τους. Τα κιτ ηλεκτρονικού "ψαρέματος" (phishing kits) στοχεύουν ολοένα και περισσότερο χρηματιστηριακούς λογαριασμούς για να κλέψουν τραπεζικά διαπιστευτήρια και κωδικούς ελέγχου ταυτότητας. Οι επιθέσεις σε αυτούς τους λογαριασμούς πενταπλασιάστηκαν το δεύτερο τρίμηνο του 2025 σε σύγκριση με την ίδια περίοδο του 2024. Μόλις παραβιαστούν, οι επιτιθέμενοι χειραγωγούν τις τιμές των μετοχών χρησιμοποιώντας σχήματα "ramp and dump", αφήνοντας ελάχιστα ίχνη από χαρτιά.
Ηλεκτρονικό ψάρεμα ως υπηρεσία: Ένα καλολαδωμένο εγκληματικό οικοσύστημα
Το Smishing Triad έχει μετατραπεί από έναν απλό πάροχο κιτ ηλεκτρονικού "ψαρέματος" (phishing-as-a-Service - PhaaS) σε μια εξαιρετικά ενεργή κοινότητα ηλεκτρονικού "ψαρέματος" (Phishing-as-a-Service), η οποία περιλαμβάνει πολλαπλούς εξειδικευμένους παράγοντες:
- Προγραμματιστές κιτ ηλεκτρονικού "ψαρέματος" (phishing kit) – δημιουργούν τα εργαλεία.
- Μεσίτες δεδομένων – παρέχουν αριθμούς τηλεφώνου-στόχους.
- Πωλητές domain – καταχωρίστε domain μιας χρήσης για φιλοξενία ιστότοπων ηλεκτρονικού "ψαρέματος" (phishing).
- Πάροχοι φιλοξενίας – συντηρούν διακομιστές.
- Αποστολείς ανεπιθύμητης αλληλογραφίας – διανέμουν ψευδή μηνύματα σε μεγάλη κλίμακα.
- Σαρωτές Liveness – επαληθεύστε τους ενεργούς αριθμούς τηλεφώνου.
- Σαρωτές λιστών αποκλεισμού – έλεγχος τομέων σε σχέση με λίστες αποκλεισμού για εναλλαγή.
Αυτό το οικοσύστημα επιτρέπει την ταχεία ανάπτυξη και τη συνεχή προσαρμογή, καθιστώντας την ανίχνευση και τη διακοπή της λειτουργίας του συστήματος δύσκολες.
Κατοχύρωση Domain και Στρατηγική Απώλειας Domain
Η ανάλυση αποκαλύπτει ότι σχεδόν 93.200 από τα 136.933 root domains (68,06%) είναι καταχωρημένα στην Dominet (HK) Limited. Η πλειονότητα αυτών χρησιμοποιεί το πρόθεμα .com, αν και έχει σημειωθεί αύξηση στις καταχωρίσεις domain .gov τους τελευταίους μήνες.
Η καμπάνια βασίζεται σε μεγάλο βαθμό στην ταχεία εναλλαγή domain:
- Το 29,19% των domain ήταν ενεργά για δύο ημέρες ή λιγότερο
- Το 71,3% ήταν ενεργό για λιγότερο από μία εβδομάδα
- Το 82,6% ήταν ενεργό για δύο εβδομάδες ή λιγότερο
- Λιγότερο από το 6% επέζησε πέραν των τριών μηνών
Αυτή η απώλεια δεδομένων, σε συνδυασμό με 194.345 FQDN που καταλήγουν σε 43.494 μοναδικές διευθύνσεις IP (κυρίως στις ΗΠΑ στο Cloudflare), επιτρέπει στους απειλητικούς παράγοντες να αποφεύγουν συνεχώς τον εντοπισμό.
Επισκόπηση Υποδομών και Παγκόσμια Εμβέλεια
Τα βασικά ευρήματα από την ανάλυση υποδομών της καμπάνιας περιλαμβάνουν:
- Η Ταχυδρομική Υπηρεσία των ΗΠΑ είναι η υπηρεσία με τις περισσότερες πλαστογραφήσεις, με 28.045 FQDN.
- Τα δολώματα για υπηρεσίες διοδίων κυριαρχούν, με περίπου 90.000 FQDN ηλεκτρονικού "ψαρέματος" (phishing).
- Τα domains που δημιουργούν την υψηλότερη επισκεψιμότητα φιλοξενούνται κυρίως στις ΗΠΑ, ακολουθούμενα από την Κίνα και τη Σιγκαπούρη.
Τα θύματα στοχεύονται σε πολλαπλούς τομείς, όπως τράπεζες, ανταλλακτήρια κρυπτονομισμάτων, υπηρεσίες παράδοσης, αστυνομικές δυνάμεις, κρατικές επιχειρήσεις, υπηρεσίες διοδίων, εφαρμογές carpooling, υπηρεσίες φιλοξενίας, μέσα κοινωνικής δικτύωσης και πλατφόρμες ηλεκτρονικού εμπορίου σε χώρες όπως η Ρωσία, η Πολωνία και η Λιθουανία.
Οι κυβερνητικές εκστρατείες πλαστοπροσωπίας συχνά ανακατευθύνουν τους χρήστες σε σελίδες προορισμού που ισχυρίζονται ότι έχουν καταβληθεί διόδια ή χρεώσεις υπηρεσιών, αξιοποιώντας μερικές φορές τα δολώματα του ClickFix για να ξεγελάσουν τους χρήστες ώστε να εκτελέσουν κακόβουλο κώδικα που μεταμφιέζεται σε επαληθεύσεις CAPTCHA.
Αποκεντρωμένη απειλή με παγκόσμιο αντίκτυπο
Η καμπάνια Smishing Triad καταδεικνύει παγκόσμια εμβέλεια και αποκέντρωση. Οι επιτιθέμενοι εγγράφονται και περιηγούνται σε χιλιάδες τομείς καθημερινά, μιμούμενοι ποικίλες υπηρεσίες για να μεγιστοποιήσουν τον αντίκτυπο. Οι καμπάνιες Smishing που στοχεύουν υπηρεσίες διοδίων των ΗΠΑ αντιπροσωπεύουν μόνο μία πτυχή μιας τεράστιας, εξαιρετικά προσαρμοστικής και κερδοφόρας εγκληματικής επιχείρησης που συνεχίζει να εξελίσσεται σε μεγάλη κλίμακα.
