Группа Smishing Triad продолжает свою активность в Пакистане. Они отправляют вредоносные сообщения от имени почты Пакистана через iMessage и SMS, с целью похищения личной и финансовой информации клиентов мобильных операторов. Аналитики компании Resecurity обнаружили, что код и шаблоны, используемые в этой активности, совпадают с предыдущими случаями Smishing Triad, которые были направлены на клиентов онлайн-банкинга, электронной коммерции и платежных систем.
Группа Smishing Triad использует местные телефонные номера, чтобы создать у получателя впечатление, что сообщение приходит от местной почты или компании. Жертвам предлагается перейти по фишинговой ссылке, которая приводит к форме оплаты и уведомлению, требующим предоставить данные кредитной карты для покрытия предполагаемых дополнительных сборов.
Аналитики заметили, что активность Smishing Triad началась в мае и достигла пика в июне. Некоторые варианты вредоносных текстов требуют ответа от пользователей, чтобы проверить их активность на мобильных устройствах и скорректировать тактику.
Для своей активности злоумышленники используют сервисы сокращения URL-адресов, а также создают доменные имена через анонимные данные и поддельную контактную информацию. В результате анализа, компания Resecurity обнаружила несколько хостов, используемых группой Smishing Triad, и связанные с ними доменные имена.
Indicators of Compromise
Domains
- ep-gov-ppk.cyou
- pk-post-goi.xyz
URls
- 2h.ae/cNRd
- 2h.ae/nwxP
- is.gd/8vcwYW
- is.gd/bpEPk3
- l.ead.me/bf6fB8
- l.ead.me/BjsT
- linkr.it/4bStpB
- pak-post.com/id
- pakpotech.top/id
- qrco.de/bf56c0
- ytfrt.top/id