Úsmevný herec hrozby triády

Rozsiahla smishingová kampaň bola od 1. januára 2024 prepojená s viac ako 194 000 škodlivými doménami a zameraná na širokú škálu služieb na celom svete. Kampaň využíva klamlivé SMS správy, aby oklamala používateľov a prinútila ich prezradiť citlivé informácie, pričom sa často vydávajú za porušenia pravidiel spoplatnenia mýta alebo nesprávne doručené balíky.

Napriek tomu, že domény sú registrované prostredníctvom registrátora so sídlom v Hongkongu a používajú čínske nameservery, útočná infraštruktúra funguje predovšetkým z cloudových služieb hostovaných v USA, čo odráža globálne distribuované nastavenie.

Úžasná triáda: Hrozitelia spojení s Čínou

Kampaň sa pripisuje skupine napojenej na Čínu, známej ako Smishing Triad, ktorá je známa zaplavovaním mobilných zariadení podvodnými oznámeniami. Za posledné tri roky sa tieto kampane ukázali ako vysoko ziskové a aktérom hackerských útokov vygenerovali viac ako 1 miliardu dolárov.

Nedávne zistenia poukazujú na významný vývoj v ich taktike. Phishingové súpravy sa čoraz častejšie zameriavajú na maklérské účty s cieľom ukradnúť bankové prihlasovacie údaje a autentifikačné kódy. Útoky na tieto účty sa v 2. štvrťroku 2025 päťnásobne zvýšili v porovnaní s rovnakým obdobím v roku 2024. Po napadnutí útočníci manipulujú s cenami akcií pomocou schém „ramp and dump“, pričom zanechávajú minimálne papierové stopy.

Phishing ako služba: Dobre fungujúci kriminálny ekosystém

Smishing Triad sa transformovala z jednoduchého poskytovateľa phishingových súprav na vysoko aktívnu komunitu Phishing ako služba (PhaaS), ktorá pozostáva z viacerých špecializovaných aktérov:

• Vývojári phishingových súprav – vytvárajú nástroje.
• Dátoví makléri – poskytujú cieľové telefónne čísla.
• Predajcovia domén – registrujte jednorazové domény na hosťovanie phishingových stránok.
• Poskytovatelia hostingu – údržba serverov.
• Spameri – šíria podvodné správy vo veľkom rozsahu.
• Skenery živosti – overujú aktívne telefónne čísla.
• Skenery blokovaných zoznamov – kontrolujú domény oproti blokovaným zoznamom, aby sa zabezpečila ich rotácia.

Tento ekosystém umožňuje rýchle nasadenie a neustále prispôsobovanie sa, čo sťažuje detekciu a narušenie.

Registrácia domén a stratégia odchodu

Analýza ukazuje, že takmer 93 200 zo 136 933 koreňových domén (68,06 %) je registrovaných pod spoločnosťou Dominet (HK) Limited. Väčšina z nich používa predponu .com, hoci v posledných mesiacoch došlo k nárastu registrácií domén .gov.

Kampaň sa vo veľkej miere spolieha na rýchlu obmenu domén:

• 29,19 % domén bolo aktívnych dva dni alebo menej
• 71,3 % bolo aktívnych menej ako týždeň
• 82,6 % bolo aktívnych dva týždne alebo menej
• Menej ako 6 % prežilo dlhšie ako tri mesiace

Tento fluktuačný proces v kombinácii so 194 345 FQDN, ktoré sa delia na 43 494 unikátnych IP adries (väčšinou v USA na Cloudflare), umožňuje aktérom hrozby neustále sa vyhýbať odhaleniu.

Prehľady infraštruktúry a globálny dosah

Medzi kľúčové zistenia z analýzy infraštruktúry kampane patria:

• Najviac sa vydáva za zosobnenú službu s 28 045 FQDN.
• Dominujú lákadlá na spoplatnené služby s približne 90 000 phishingovými FQDN.
• Domény generujúce najvyššiu návštevnosť sú hostované predovšetkým v USA, nasledované Čínou a Singapurom.

Obeťami sa zaoberajú viaceré sektory vrátane bánk, búrz s kryptomenami, doručovacích služieb, policajných zložiek, štátnych podnikov, mýtnych služieb, aplikácií na zdieľanú jazdu, pohostinstva, sociálnych médií a platforiem elektronického obchodu v krajinách ako Rusko, Poľsko a Litva.

Kampane zamerané na vydávanie sa za vládu často presmerúvajú používateľov na vstupné stránky s údajmi o nezaplatených mýtnych poplatkoch alebo poplatkoch za služby, pričom niekedy využívajú návnady ClickFix, aby oklamali používateľov a prinútili ich spustiť škodlivý kód maskovaný ako overenia CAPTCHA.

Decentralizovaná hrozba s globálnym dopadom

Kampaň Smishing Triad demonštruje globálny dosah a decentralizáciu. Útočníci denne registrujú a prechádzajú tisíckami domén, pričom napodobňujú rôzne služby, aby maximalizovali svoj vplyv. Smishingové kampane zamerané na mýtne služby v USA predstavujú len jednu stránku rozsiahleho, vysoko adaptívneho a ziskového zločineckého podniku, ktorý sa neustále vyvíja vo veľkom meradle.