Скидка на мультилицензию
База данных угроз Фишинг Актёр угрозы «Смишинг Триада»

Актёр угрозы «Смишинг Триада»

К Mezo году в Фишинг, Расширенная постоянная угроза (APT) году
Перевести на:

С 1 января 2024 года масштабная кампания по мошенничеству со смишингом была связана с более чем 194 000 вредоносных доменов, нацеленных на широкий спектр сервисов по всему миру. Кампания использует обманные SMS-сообщения, чтобы обманным путем заставить пользователей раскрыть конфиденциальную информацию, часто выдавая её за нарушения правил оплаты или ошибочно доставленные посылки.

Несмотря на то, что домены зарегистрированы через гонконгского регистратора и используют китайские серверы имен, инфраструктура атаки в основном работает через облачные сервисы, размещенные в США, что отражает глобально распределенную структуру.

Триада «Смишинг»: источники угрозы, связанные с Китаем

Кампания приписывается связанной с Китаем группировке, известной как «Smishing Triad», которая известна тем, что заваливает мобильные устройства мошенническими уведомлениями. За последние три года эти кампании оказались весьма прибыльными, принеся злоумышленникам более 1 миллиарда долларов.

Недавние исследования свидетельствуют о существенном развитии тактики мошенников. Фишинговые наборы всё чаще атакуют брокерские счета для кражи банковских данных и кодов аутентификации. Число атак на эти счета выросло в пять раз во втором квартале 2025 года по сравнению с аналогичным периодом 2024 года. После взлома злоумышленники манипулируют ценами акций, используя схемы «накрутка и сброс», оставляя минимум документальных следов.

Фишинг как услуга: отлаженная криминальная экосистема

Smishing Triad превратилась из простого поставщика фишинговых наборов в высокоактивное сообщество «Фишинг как услуга» (PhaaS), включающее в себя множество специализированных участников:

  • Разработчики фишинговых наборов – создание инструментов.
  • Брокеры данных — предоставляют целевые номера телефонов.
  • Продавцы доменов — регистрируют одноразовые домены для размещения фишинговых сайтов.
  • Хостинг-провайдеры – обслуживание серверов.
  • Спамеры — массово распространяют мошеннические сообщения.
  • Сканеры активности — проверяют активные номера телефонов.
  • Сканеры черных списков — проверяют домены на наличие черных списков для ротации.

Эта экосистема обеспечивает быстрое развертывание и постоянную адаптацию, что затрудняет обнаружение и устранение неполадок.

Регистрация доменов и стратегия оттока

Анализ показывает, что почти 93 200 из 136 933 корневых доменов (68,06%) зарегистрированы на имя Dominet (HK) Limited. Большинство из них используют префикс .com, хотя в последние месяцы наблюдается рост числа регистраций доменов .gov.

Кампания в значительной степени опирается на быстрый оборот доменов:

  • 29,19% доменов были активны в течение двух дней или менее
  • 71,3% были активны менее недели
  • 82,6% были активны в течение двух недель или меньше
  • Менее 6% выжили более трех месяцев

Этот отток, в сочетании с 194 345 полными доменными именами, преобразующимися в 43 494 уникальных IP-адреса (в основном в США на Cloudflare), позволяет злоумышленникам постоянно уклоняться от обнаружения.

Инфраструктурные знания и глобальный охват

Основные выводы анализа инфраструктуры кампании включают:

  • Почтовая служба США является наиболее часто подделываемой службой с 28 045 полными доменными именами.
  • Доминируют приманки для платных услуг: насчитывается около 90 000 фишинговых полных доменных имен.
  • Домены, генерирующие наибольший трафик, размещены в основном в США, за которыми следуют Китай и Сингапур.

Жертвами становятся представители различных секторов, включая банки, криптовалютные биржи, службы доставки, полицию, государственные предприятия, службы взимания платы за проезд, приложения для совместных поездок, гостиничные услуги, социальные сети и платформы электронной коммерции в таких странах, как Россия, Польша и Литва.

Кампании по подделке документов от имени правительства часто перенаправляют пользователей на целевые страницы, требующие оплаты дорожных сборов или сборов за услуги, иногда используя приманки ClickFix, чтобы заставить пользователей выполнить вредоносный код, замаскированный под проверки CAPTCHA.

Децентрализованная угроза с глобальным влиянием

Кампания «Smishing Triad» демонстрирует глобальный охват и децентрализацию. Злоумышленники ежедневно регистрируют и используют тысячи доменов, имитируя различные сервисы для максимального воздействия. Кампании «Smishing», нацеленные на службы оплаты проезда в США, представляют собой лишь одну грань обширной, высокоадаптивной и прибыльной преступной деятельности, которая продолжает масштабироваться.

В тренде

Ошибка Android Pixnapping

Уязвимость
Исследователи кибербезопасности обнаружили критическую уязвимость, затрагивающую устройства Android от Google и Samsung, получившую название Pixnapping. Эта атака по сторонним каналам позволяет вредоносному приложению скрытно красть конфиденциальные данные, включая коды двухфакторной аутентификации (2FA) и временную шкалу Google Карт, захватывая пиксели экрана без ведома пользователя. Атака...

Расширение браузера «Моя вкладка погоды»

Потенциально нежелательные программы, Браузерные хайджекеры
Исследователи обнаружили расширение браузера, известное как «Моя вкладка погоды». В результате всестороннего исследования было установлено, что это расширение действует как разновидность...

Наиболее просматриваемые

Загрузка...