Попуст за више лиценци
Тхреат Датабасе Пецање Глумац претње тријаде Смисхинг

Глумац претње тријаде Смисхинг

До Mezo. у Пецање, Напредна трајна претња (АПТ)
Преведи на:

Велика smishing кампања повезана је са преко 194.000 злонамерних домена од 1. јануара 2024. године, усмерена на широк спектар услуга широм света. Кампања користи обмањујуће SMS поруке како би преварила кориснике да открију осетљиве информације, често се представљајући као прекршаји у вези са путаринама или погрешно испоручени пакети.

Упркос томе што су домени регистровани преко регистрара са седиштем у Хонг Конгу и користе кинеске именске сервере, инфраструктура напада првенствено функционише из клауд сервиса хостованих у САД, што одражава глобално дистрибуирану поставку.

Усмехујућа тријада: претње повезане са Кином

Кампања се приписује групи повезаној са Кином, познатој као Смишинг Тријада, познатој по преплављивању мобилних уређаја лажним обавештењима. Током протекле три године, ове кампање су се показале веома профитабилним, генеришући више од милијарду долара за актере претњи.

Недавна открића указују на значајну еволуцију у њиховим тактикама. Фишинг комплети све више циљају брокерске рачуне како би украли банкарске акредитиве и кодове за аутентификацију. Напади на ове рачуне су се пет пута повећали у другом кварталу 2025. године у поређењу са истим периодом 2024. године. Једном када буду компромитовани, нападачи манипулишу ценама акција користећи шеме „рамп и дамп“, остављајући минималне папирне трагове.

Фишинг као услуга: Добро урађен криминални екосистем

Смишинг тријада се трансформисала од једноставног добављача фишинг комплета у веома активну заједницу Фишинг-као-услуга (PhaaS), коју чине вишеструки специјализовани актери:

  • Програмери фишинг комплета – креирајте алате.
  • Брокери података – достављају циљне бројеве телефона.
  • Продавци домена – региструјте домене за једнократну употребу за хостовање фишинг сајтова.
  • Провајдери хостинга – одржавају сервере.
  • Спамери – дистрибуирају лажне поруке у великим размерама.
  • Скенери живости – проверите активне бројеве телефона.
  • Скенери блок листа – проверавају домене у односу на блок листе ради ротације.

Овај екосистем омогућава брзо распоређивање и стално прилагођавање, што отежава откривање и ометање.

Регистрација домена и стратегија одлива

Анализа открива да је скоро 93.200 од 136.933 коренских домена (68,06%) регистровано под именом Dominet (HK) Limited. Већина њих користи префикс .com, иако је последњих месеци дошло до пораста регистрација домена .gov.

Кампања се у великој мери ослања на брзу промет домена:

  • 29,19% домена је било активно два дана или мање
  • 71,3% је било активно мање од недељу дана
  • 82,6% је било активно две недеље или мање
  • Мање од 6% је преживело дуже од три месеца

Ова промена, у комбинацији са 194.345 FQDN-ова који се решавају на 43.494 јединствене IP адресе (углавном у САД на Cloudflare-у), омогућава актерима претње да континуирано избегавају откривање.

Увиди у инфраструктуру и глобални досег

Кључни налази анализе инфраструктуре кампање укључују:

  • Поштанска служба САД је служба са највише лажних домена, са 28.045 FQDN-ова.
  • Мамци за наплату путарине доминирају, са отприлике 90.000 фишинг FQDN-ова.
  • Домени који генеришу највећи саобраћај налазе се првенствено у САД, а затим у Кини и Сингапуру.

Жртве су мета у више сектора, укључујући банке, берзе криптовалута, службе доставе, полицијске снаге, државна предузећа, службе за наплату путарине, апликације за дељење вожње, угоститељске услуге, друштвене медије и платформе за електронску трговину у земљама попут Русије, Пољске и Литваније.

Владине кампање лажног представљања често преусмеравају кориснике на одредишне странице на којима се тврди да су неплаћене путарине или накнаде за услуге, понекад користећи мамце ClickFix-а како би преварили кориснике да покрену злонамерни код прикривен као CAPTCHA верификације.

Децентрализована претња са глобалним утицајем

Кампања „Smishing Triad“ демонстрира глобални домет и децентрализацију. Нападачи се региструју и мењају хиљаде домена дневно, опонашајући различите услуге како би максимизирали утицај. Smishing кампање усмерене на америчке услуге наплате путарине представљају само један аспект огромног, високо прилагодљивог и профитабилног криминалног подухвата који се наставља развијати у великим размерама.

У тренду

Грешка у Андроиду са Pixnapping-ом

Рањивост
Истраживачи сајбер безбедности идентификовали су критичну рањивост која погађа Андроид уређаје компанија Гугл и Самсунг, названу Пикснепинг. Овај споредни напад омогућава злонамерној апликацији да тајно украде осетљиве податке, укључујући кодове за двофакторску аутентификацију (2FA) и временске линије Гугл мапа, снимањем пиксела екрана без знања корисника. Напад функционише пиксел по пиксел,...

Екстензија за прегледач картице Моје временске прилике

Потенцијално нежељени програми, Отмичари претраживача
Истраживачи су идентификовали проширење претраживача познато као „Ми Веатхер Таб“. Свеобухватним испитивањем је утврђено да ово проширење функционише као облик софтвера за отмицу претраживача....

Најгледанији

Злонамерних програма

Пецање, Спам
33,196
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...