Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Phishing Ator de ameaça da tríade Smishing

Ator de ameaça da tríade Smishing

Por Mezo em Phishing, Ameaça Persistente Avançada (APT)
Traduzir Para:

Uma campanha de smishing em larga escala foi associada a mais de 194.000 domínios maliciosos desde 1º de janeiro de 2024, visando uma ampla gama de serviços em todo o mundo. A campanha utiliza mensagens SMS enganosas para induzir os usuários a divulgar informações confidenciais, muitas vezes fingindo ser infrações de pedágio ou encomendas extraviadas.

Apesar dos domínios estarem registrados por meio de um registrador com sede em Hong Kong e utilizarem servidores de nomes chineses, a infraestrutura de ataque opera principalmente a partir de serviços em nuvem hospedados nos EUA, refletindo uma configuração distribuída globalmente.

A Tríade do Smishing: Atores Ameaçadores Ligados à China

A campanha é atribuída a um grupo ligado à China conhecido como Smishing Triad, notório por inundar dispositivos móveis com notificações fraudulentas. Nos últimos três anos, essas campanhas provaram ser altamente lucrativas, gerando mais de US$ 1 bilhão para os autores da ameaça.

Descobertas recentes destacam uma evolução significativa em suas táticas. Kits de phishing estão cada vez mais visando contas de corretoras para roubar credenciais bancárias e códigos de autenticação. Os ataques a essas contas aumentaram cinco vezes no segundo trimestre de 2025 em comparação com o mesmo período de 2024. Uma vez comprometidas, os atacantes manipulam os preços das ações usando esquemas de "ramp and dump" (variação e queda brusca), deixando rastros mínimos.

Phishing como serviço: um ecossistema criminoso bem azeitado

A Tríade do Smishing se transformou de uma simples fornecedora de kits de phishing em uma comunidade altamente ativa de Phishing como Serviço (PhaaS), composta por múltiplos atores especializados:

  • Desenvolvedores de kits de phishing – criem as ferramentas.
  • Corretores de dados – fornecem números de telefone de destino.
  • Vendedores de domínios – registrem domínios descartáveis para hospedar sites de phishing.
  • Provedores de hospedagem – fazem a manutenção dos servidores.
  • Spammers – distribuem mensagens fraudulentas em larga escala.
  • Scanners de atividade – verificam números de telefone ativos.
  • Verificadores de listas de bloqueio – verificam se os domínios estão em listas de bloqueio para fins de rotação.

Esse ecossistema permite implantação rápida e adaptação constante, tornando a detecção e a interrupção um desafio.

Estratégia de Registro e Rotatividade de Domínios

A análise revela que quase 93.200 dos 136.933 domínios raiz (68,06%) estão registrados em nome da Dominet (HK) Limited. A maioria deles utiliza o prefixo .com, embora tenha havido um aumento nos registros de domínios .gov nos últimos meses.

A campanha depende muito da rápida rotatividade de domínios:

  • 29,19% dos domínios estiveram ativos por dois dias ou menos.
  • 71,3% estiveram ativos por menos de uma semana.
  • 82,6% estiveram ativos por duas semanas ou menos.
  • Menos de 6% sobreviveram além de três meses.

Essa rotatividade, combinada com 194.345 FQDNs que resolvem para 43.494 IPs únicos (principalmente nos EUA, na Cloudflare), permite que os agentes de ameaças evitem continuamente a detecção.

Análises de infraestrutura e alcance global

As principais conclusões da análise de infraestrutura da campanha incluem:

  • O Serviço Postal dos EUA é o serviço mais imitado, com 28.045 FQDNs (Nomes de Domínio Totalmente Qualificados).
  • As iscas de serviços de pedágio dominam, com aproximadamente 90.000 FQDNs de phishing.
  • Os domínios que geram maior tráfego estão hospedados principalmente nos EUA, seguidos pela China e Singapura.

As vítimas são visadas em vários setores, incluindo bancos, corretoras de criptomoedas, serviços de entrega, forças policiais, empresas estatais, serviços de pedágio, aplicativos de carona, serviços de hotelaria, mídias sociais e plataformas de comércio eletrônico em países como Rússia, Polônia e Lituânia.

Campanhas de falsificação de identidade governamental frequentemente redirecionam usuários para páginas de destino que alegam pedágios ou taxas de serviço não pagos, às vezes utilizando iscas do ClickFix para enganar os usuários e levá-los a executar códigos maliciosos disfarçados de verificações CAPTCHA.

Ameaça descentralizada com impacto global

A campanha Smishing Triad demonstra alcance global e descentralização. Os atacantes registram e utilizam milhares de domínios diariamente, imitando diversos serviços para maximizar o impacto. As campanhas de smishing direcionadas a serviços de pedágio dos EUA representam apenas uma faceta de uma vasta, altamente adaptável e lucrativa organização criminosa que continua a evoluir em grande escala.

Tendendo

Mais visto

Carregando...