Актор загрози тріади Smishing
З 1 січня 2024 року масштабна кампанія зі смішингу була пов'язана з понад 194 000 шкідливих доменів, спрямованих на широкий спектр послуг по всьому світу. Кампанія використовує оманливі SMS-повідомлення, щоб обманом змусити користувачів розголошувати конфіденційну інформацію, часто видаючи її за порушення правил дорожнього руху або неправильно доставлені посилки.
Незважаючи на те, що домени зареєстровані через гонконгського реєстратора та використовують китайські сервери імен, інфраструктура атаки переважно працює з хмарних сервісів, розміщених у США, що відображає глобально розподілену конфігурацію.
Зміст
Тріада Smishing: пов'язані з Китаєм актори загрози
Кампанія приписується пов'язаній з Китаєм групі під назвою Smishing Triad, сумнозвісній тим, що завалює мобільні пристрої шахрайськими повідомленнями. За останні три роки ці кампанії виявилися дуже прибутковими, принісши зловмисникам понад 1 мільярд доларів.
Нещодавні результати дослідження свідчать про значну еволюцію їхньої тактики. Фішингові комплекти все частіше спрямовані на брокерські рахунки для крадіжки банківських облікових даних та кодів автентифікації. Кількість атак на ці облікові записи зросла вп'ятеро у другому кварталі 2025 року порівняно з аналогічним періодом 2024 року. Після компрометації зловмисники маніпулюють цінами на акції, використовуючи схеми «ramp and dump», залишаючи мінімальні паперові сліди.
Фішинг як послуга: добре налагоджена злочинна екосистема
Тріада Smishing перетворилася з простого постачальника фішингових наборів на дуже активну спільноту фішингу як послуги (PhaaS), що складається з кількох спеціалізованих учасників:
- Розробники фішингових наборів – створіть інструменти.
- Брокери даних – надають цільові номери телефонів.
- Продавці доменів – реєструйте одноразові домени для розміщення фішингових сайтів.
- Хостинг-провайдери – обслуговують сервери.
- Спамери – розповсюджують шахрайські повідомлення у великих масштабах.
- Сканери активності – перевіряють активні номери телефонів.
- Сканери чорних списків – перевіряють домени на відповідність чорним спискам для ротації.
Ця екосистема дозволяє швидке розгортання та постійну адаптацію, що ускладнює виявлення та порушення роботи.
Реєстрація доменів та стратегія відтоку
Аналіз показує, що майже 93 200 з 136 933 кореневих доменів (68,06%) зареєстровано на ім'я Dominet (HK) Limited. Більшість із них використовують префікс .com, хоча в останні місяці спостерігається зростання реєстрацій доменів .gov.
Кампанія значною мірою залежить від швидкої зміни доменів:
- 29,19% доменів були активні протягом двох днів або менше
- 71,3% були активні менше тижня
- 82,6% були активними протягом двох тижнів або менше
- Менше 6% вижили більше трьох місяців
Цей відтік, у поєднанні зі 194 345 повними доменними іменами (FQDN), що перетворюються на 43 494 унікальні IP-адреси (переважно в США на Cloudflare), дозволяє зловмисникам постійно уникати виявлення.
Аналітика інфраструктури та глобальний охоплення
Ключові висновки аналізу інфраструктури кампанії включають:
- Поштова служба США є найбільш іменуваною службою, з 28 045 повними доменніми іменами (FQDN).
- Приманки для платних послуг домінують, маючи приблизно 90 000 фішингових повних доменів (FQDN).
- Домени, що генерують найбільший трафік, розміщені переважно в США, далі йдуть Китай та Сінгапур.
Жертвами стають представники різних секторів, включаючи банки, криптовалютні біржі, служби доставки, поліцію, державні підприємства, служби оплати проїзду, додатки для спільного користування автомобілем, послуги гостинності, соціальні мережі та платформи електронної комерції в таких країнах, як Росія, Польща та Литва.
Кампанії, що видають себе за уряд, часто перенаправляють користувачів на цільові сторінки, де стверджується про несплачені дорожні збори або оплату за послуги, іноді використовуючи приманки ClickFix, щоб обманом змусити користувачів виконати шкідливий код, замаскований під перевірку CAPTCHA.
Децентралізована загроза з глобальним впливом
Кампанія Smishing Triad демонструє глобальне охоплення та децентралізацію. Зловмисники щодня реєструють та перемикаються між тисячами доменів, імітуючи різноманітні сервіси для максимізації впливу. Smishing-кампанії, спрямовані на сервіси оплати за проїзд у США, є лише одним аспектом величезного, високоадаптивного та прибуткового злочинного підприємства, яке продовжує масштабно розвиватися.
