Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări phishing Actor de amenințare Smishing Triad

Actor de amenințare Smishing Triad

Până în Mezo în phishing, Amenințare persistentă avansată (APT)
Tradu in:

O campanie de smishing la scară largă a fost asociată cu peste 194.000 de domenii rău intenționate începând cu 1 ianuarie 2024, vizând o gamă largă de servicii din întreaga lume. Campania utilizează mesaje SMS înșelătoare pentru a păcăli utilizatorii să divulge informații sensibile, adesea dându-se drept încălcări ale taxelor de drum sau colete livrate greșit.

Deși domeniile sunt înregistrate prin intermediul unui registrator cu sediul în Hong Kong și utilizează servere de nume chinezești, infrastructura de atac operează în principal de pe servicii cloud găzduite în SUA, reflectând o configurație distribuită la nivel global.

Triada Smishing: Actori amenințători legați de China

Campania este atribuită unui grup legat de China, cunoscut sub numele de Smishing Triad, cunoscut pentru inundarea dispozitivelor mobile cu notificări frauduloase. În ultimii trei ani, aceste campanii s-au dovedit extrem de profitabile, generând peste 1 miliard de dolari pentru actorii amenințători.

Descoperirile recente evidențiază o evoluție semnificativă a tacticilor lor. Kiturile de phishing vizează din ce în ce mai mult conturile de brokeraj pentru a fura acreditări bancare și coduri de autentificare. Atacurile asupra acestor conturi au crescut de cinci ori în trimestrul 2 al anului 2025, comparativ cu aceeași perioadă din 2024. Odată compromise, atacatorii manipulează prețurile acțiunilor folosind scheme de tip „ramp and dump”, lăsând urme minime de hârtie.

Phishing-as-a-Service: Un ecosistem infracțional bine întreținut

Triada Smishing s-a transformat dintr-un simplu furnizor de kituri de phishing într-o comunitate Phishing-as-a-Service (PhaaS) extrem de activă, cuprinzând mai mulți actori specializați:

  • Dezvoltatorii de kituri de phishing – creează instrumentele.
  • Brokeri de date – furnizează numere de telefon țintă.
  • Vânzători de domenii – înregistrează domenii de unică folosință pentru găzduirea de site-uri de phishing.
  • Furnizori de găzduire – întrețin serverele.
  • Spammeri – distribuie mesaje frauduloase la scară largă.
  • Scanere de activare a vieții – verifică numerele de telefon active.
  • Scanere de liste de blocare – verifică domeniile în raport cu listele de blocare pentru rotație.

Acest ecosistem permite o implementare rapidă și o adaptare constantă, ceea ce face ca detectarea și perturbările să fie dificile.

Strategia de înregistrare a domeniilor și de abandonare a acestora

Analiza arată că aproape 93.200 din 136.933 de domenii rădăcină (68,06%) sunt înregistrate sub Dominet (HK) Limited. Majoritatea acestora folosesc prefixul .com, deși în ultimele luni s-a înregistrat o creștere a înregistrărilor de domenii .gov.

Campania se bazează în mare măsură pe rata de transfer rapid al domeniilor:

  • 29,19% dintre domenii au fost active timp de două zile sau mai puțin
  • 71,3% au fost activi mai puțin de o săptămână
  • 82,6% au fost activi timp de două săptămâni sau mai puțin
  • Mai puțin de 6% au supraviețuit mai mult de trei luni

Această pierdere, combinată cu 194.345 de FQDN-uri care rezolvă 43.494 de IP-uri unice (majoritatea în SUA pe Cloudflare), permite actorilor amenințători să evite în mod continuu detectarea.

Informații despre infrastructură și acoperire globală

Printre principalele constatări ale analizei infrastructurii campaniei se numără:

  • Serviciul Poștal al SUA este cel mai mult uzurpat serviciu, cu 28.045 de numere FQDN.
  • Momelile pentru serviciile de taxare domină, cu aproximativ 90.000 de FQDN-uri de phishing.
  • Domeniile care generează cel mai mare trafic sunt găzduite în principal în SUA, urmate de China și Singapore.

Victimele sunt vizate în mai multe sectoare, inclusiv bănci, burse de criptomonede, servicii de livrare, forțe de poliție, întreprinderi de stat, servicii de taxare, aplicații de carpooling, servicii de ospitalitate, rețele sociale și platforme de comerț electronic în țări precum Rusia, Polonia și Lituania.

Campaniile de uzurpare a identității guvernamentale redirecționează adesea utilizatorii către pagini de destinație care solicită taxe de drum sau taxe de serviciu neplătite, uneori utilizând momelile ClickFix pentru a păcăli utilizatorii să execute cod rău intenționat deghizat în verificări CAPTCHA.

Amenințare descentralizată cu impact global

Campania Smishing Triad demonstrează acoperire globală și descentralizare. Atacatorii înregistrează și parcurg zilnic mii de domenii, imitând diverse servicii pentru a maximiza impactul. Campaniile de Smishing care vizează serviciile de taxare din SUA reprezintă doar o fațetă a unei vaste, extrem de adaptive și profitabile întreprinderi criminale, care continuă să evolueze la scară largă.

Trending

Cele mai văzute

Se încarcă...