Ponuda s popustom na više licenci
Baza prijetnji Krađa identiteta Smishing Triad Threat Actor

Smishing Triad Threat Actor

Do Mezo. Krađa identiteta, Napredna trajna prijetnja (APT). godine
Prevedi na:

Velika smishing kampanja povezana je s više od 194 000 zlonamjernih domena od 1. siječnja 2024., a usmjerena je na širok raspon usluga diljem svijeta. Kampanja koristi obmanjujuće SMS poruke kako bi prevarila korisnike da otkriju osjetljive informacije, često se predstavljajući kao prekršaji u naplati cestarine ili pogrešno isporučeni paketi.

Unatoč tome što su domene registrirane putem registrara sa sjedištem u Hong Kongu i koriste kineske nameservere, infrastruktura napada prvenstveno djeluje iz cloud usluga hostiranih u SAD-u, što odražava globalno distribuiranu postavku.

Trijada koja se smije: Akteri prijetnji povezani s Kinom

Kampanja se pripisuje skupini povezanoj s Kinom poznatoj kao Smishing Triad, poznatoj po preplavljivanju mobilnih uređaja lažnim obavijestima. Tijekom protekle tri godine, ove su se kampanje pokazale vrlo profitabilnima, generirajući više od milijardu dolara za aktere prijetnji.

Nedavna otkrića ističu značajnu evoluciju u njihovim taktikama. Phishing kompleti sve više ciljaju brokerske račune kako bi ukrali bankovne vjerodajnice i autentifikacijske kodove. Napadi na ove račune porasli su pet puta u drugom tromjesečju 2025. u usporedbi s istim razdobljem 2024. Nakon što su kompromitirani, napadači manipuliraju cijenama dionica koristeći sheme "ramp and dump", ostavljajući minimalne papirnate tragove.

Phishing kao usluga: Dobro uhodan kriminalni ekosustav

Smishing Triad se transformirao iz jednostavnog pružatelja phishing kompleta u vrlo aktivnu Phishing-as-a-Service (PhaaS) zajednicu, koja se sastoji od više specijaliziranih aktera:

  • Razvojni programeri phishing kita – stvaraju alate.
  • Posrednici podataka – dostavljaju ciljne telefonske brojeve.
  • Prodavači domena – registrirajte jednokratne domene za hosting phishing stranica.
  • Pružatelji hostinga – održavaju servere.
  • Spameri – šire lažne poruke u velikim količinama.
  • Skeneri aktivnih brojeva telefona – provjeravaju aktivne telefonske brojeve.
  • Skeneri blok lista – provjeravaju domene u odnosu na blok liste radi rotacije.

Ovaj ekosustav omogućuje brzo postavljanje i stalnu prilagodbu, što otežava otkrivanje i poremećaje.

Strategija registracije domena i odljeva korisnika

Analiza otkriva da je gotovo 93.200 od 136.933 korijenskih domena (68,06%) registrirano pod Dominet (HK) Limited. Većina njih koristi prefiks .com, iako je u posljednjih nekoliko mjeseci došlo do porasta registracija domena .gov.

Kampanja se uvelike oslanja na brzu promjenu domena:

  • 29,19% domena bilo je aktivno dva dana ili manje
  • 71,3% bilo je aktivno manje od tjedan dana
  • 82,6% bilo je aktivno dva tjedna ili manje
  • Manje od 6% preživjelo je dulje od tri mjeseca

Ovaj odljev, u kombinaciji sa 194.345 FQDN-ova koji se razrješavaju na 43.494 jedinstvenih IP adresa (uglavnom u SAD-u na Cloudflareu), omogućuje prijetnjama da kontinuirano izbjegavaju otkrivanje.

Uvidi u infrastrukturu i globalni doseg

Ključni nalazi analize infrastrukture kampanje uključuju:

  • Američka poštanska služba je usluga s najviše lažnih identiteta, s 28.045 FQDN-ova.
  • Mamci za naplatu cestarine dominiraju, s otprilike 90 000 phishing FQDN-ova.
  • Domene koje generiraju najveći promet nalaze se prvenstveno u SAD-u, a slijede Kina i Singapur.

Žrtve su meta u više sektora, uključujući banke, mjenjačnice kriptovaluta, dostavne službe, policijske snage, državna poduzeća, usluge naplate cestarine, aplikacije za dijeljenje prijevoza, ugostiteljske usluge, društvene mreže i platforme za e-trgovinu u zemljama poput Rusije, Poljske i Litve.

Vladine kampanje lažnog predstavljanja često preusmjeravaju korisnike na odredišne stranice na kojima se tvrde da su cestarine ili naknade za usluge neplaćene, ponekad koristeći ClickFix mamce kako bi prevarile korisnike da izvrše zlonamjerni kod prikriven kao CAPTCHA provjere.

Decentralizirana prijetnja s globalnim utjecajem

Kampanja Smishing Triad pokazuje globalni doseg i decentralizaciju. Napadači se svakodnevno registriraju i kruže kroz tisuće domena, oponašajući raznolike usluge kako bi maksimizirali utjecaj. Smishing kampanje usmjerene na američke usluge naplate cestarine predstavljaju samo jedan aspekt ogromnog, visoko prilagodljivog i profitabilnog kriminalnog pothvata koji se nastavlja razvijati u velikim razmjerima.

U trendu

Nagledanije

Učitavam...