Vairāku licenču atlaides piedāvājums
Draudu datu bāze Pikšķerēšana Smishing Triad draudu aktieris

Smishing Triad draudu aktieris

Līdz Mezo. gadam Pikšķerēšana, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kopš 2024. gada 1. janvāra plaša mēroga ļaunprātīga kampaņa ir saistīta ar vairāk nekā 194 000 ļaunprātīgu domēnu, un tās mērķis ir plašs pakalpojumu klāsts visā pasaulē. Kampaņa izmanto maldinošas īsziņas, lai apmānītu lietotājus un panāktu sensitīva informācija, bieži vien izliekoties par ceļa nodevas pārkāpumiem vai nepareizi piegādātām pakām.

Lai gan domēni ir reģistrēti caur Honkongā bāzētu reģistratūru un izmanto Ķīnas vārdu serverus, uzbrukuma infrastruktūra galvenokārt darbojas no ASV mitinātiem mākoņpakalpojumiem, atspoguļojot globāli izkliedētu sistēmu.

Smishing Triad: ar Ķīnu saistīti draudu aktori

Kampaņa tiek piedēvēta ar Ķīnu saistītai grupai, kas pazīstama kā Smishing Triad un ir bēdīgi slavena ar mobilo ierīču pārpludināšanu ar krāpnieciskiem paziņojumiem. Pēdējo trīs gadu laikā šīs kampaņas ir izrādījušās ļoti ienesīgas, radot apdraudējumu dalībniekiem vairāk nekā 1 miljardu dolāru.

Jaunākie atklājumi liecina par ievērojamu viņu taktikas attīstību. Pikšķerēšanas komplekti arvien biežāk tiek vērsti pret brokeru kontiem, lai nozagtu bankas akreditācijas datus un autentifikācijas kodus. Uzbrukumu skaits šiem kontiem 2025. gada 2. ceturksnī pieauga piecas reizes, salīdzinot ar to pašu periodu 2024. gadā. Kad uzbrucēji ir tikuši kompromitēti, viņi manipulē ar akciju cenām, izmantojot “paātrināšanas un izmešanas” shēmas, atstājot minimālu dokumentācijas apjomu.

Pikšķerēšana kā pakalpojums: labi ieeļļota noziedzīga ekosistēma

Smishing Triad ir pārveidojusies no vienkārša pikšķerēšanas komplektu nodrošinātāja par ļoti aktīvu pikšķerēšanas kā pakalpojuma (PhaaS) kopienu, kurā ietilpst vairāki specializēti dalībnieki:

  • Pikšķerēšanas komplektu izstrādātāji — izveido rīkus.
  • Datu brokeri — nodrošina mērķa tālruņu numurus.
  • Domēnu pārdevēji — reģistrējiet vienreizējās lietošanas domēnus pikšķerēšanas vietņu mitināšanai.
  • Hostinga pakalpojumu sniedzēji — uztur serverus.
  • Surogātpasta izplatītāji — plašā mērogā izplata krāpnieciskus ziņojumus.
  • Dzīvības skeneri — pārbaudiet aktīvos tālruņu numurus.
  • Bloķēšanas sarakstu skeneri — pārbaudiet domēnus, salīdzinot tos ar bloķēšanas sarakstiem, lai tos rotētu.

Šī ekosistēma nodrošina ātru ieviešanu un pastāvīgu pielāgošanos, apgrūtinot atklāšanu un darbības pārtraukšanu.

Domēna reģistrācija un klientu aizplūšanas stratēģija

Analīze atklāj, ka gandrīz 93 200 no 136 933 saknes domēniem (68,06 %) ir reģistrēti ar Dominet (HK) Limited. Lielākā daļa no tiem izmanto prefiksu .com, lai gan pēdējos mēnešos ir pieaudzis .gov domēnu reģistrāciju skaits.

Kampaņa lielā mērā balstās uz ātru domēnu apgrozījumu:

  • 29,19% domēnu bija aktīvi divas dienas vai mazāk
  • 71,3% bija aktīvi mazāk nekā nedēļu
  • 82,6% bija aktīvi divas nedēļas vai mazāk
  • Mazāk nekā 6% izdzīvoja ilgāk par trim mēnešiem

Šī datu plūsma apvienojumā ar 194 345 FQDN, kas atbilst 43 494 unikālām IP adresēm (galvenokārt ASV, izmantojot Cloudflare), ļauj apdraudējumu dalībniekiem nepārtraukti izvairīties no atklāšanas.

Infrastruktūras ieskatījumi un globālā ietekme

Kampaņas infrastruktūras analīzes galvenie secinājumi ir šādi:

  • ASV pasta dienests ir visvairāk atdarinātais pakalpojums ar 28 045 FQDN.
  • Dominē maksas pakalpojumu vilinājumi ar aptuveni 90 000 pikšķerēšanas FQDN.
  • Domēni, kas ģenerē vislielāko datplūsmu, galvenokārt tiek mitināti ASV, kam seko Ķīna un Singapūra.

Cietušie tiek uzbrukti vairākām nozarēm, tostarp bankām, kriptovalūtu biržām, piegādes pakalpojumiem, policijas spēkiem, valsts uzņēmumiem, ceļu nodevas iekasēšanas pakalpojumiem, kopbraukšanas lietotnēm, viesmīlības pakalpojumiem, sociālajiem medijiem un e-komercijas platformām tādās valstīs kā Krievija, Polija un Lietuva.

Valdības kampaņas, kas vērstas uz personības nodošanu citam lietotājam, bieži vien novirza lietotājus uz galvenajām lapām, kurās tiek pieprasīta neapmaksāta nodevu vai pakalpojumu maksa, dažreiz izmantojot ClickFix ēsmas, lai maldinātu lietotājus izpildīt ļaunprātīgu kodu, kas maskēts kā CAPTCHA verifikācijas.

Decentralizēts drauds ar globālu ietekmi

Kampaņa “Smishing Triad” demonstrē globālu tvērumu un decentralizāciju. Uzbrucēji katru dienu reģistrējas un pārvietojas caur tūkstošiem domēnu, atdarinot dažādus pakalpojumus, lai maksimāli palielinātu ietekmi. “Smishing” kampaņas, kas vērstas pret ASV maksas iekasēšanas pakalpojumiem, ir tikai viens no plaša, ļoti pielāgojama un ienesīga noziedzīga uzņēmuma aspektiem, kas turpina attīstīties plašā mērogā.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,196
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...