Эксперты по кибербезопасности выявили масштабную операцию китайской преступной группировки Smishing Triad, нацеленную на финансовые услуги и почтовые сервисы Египта. В ходе охоты за угрозами были обнаружены многочисленные вредоносные домены, имитирующие ведущих египетских поставщиков услуг, включая платежную систему Fawry, национальную почтовую службу Egypt Post и сервис такси Careem.
Описание
Smishing Triad представляет собой китаеязычную киберпреступную группу, специализирующуюся на массовых смс-фишинговых кампаниях по всему миру. Группа известна имитацией национальных почтовых служб, логистических компаний и поставщиков услуг доставки. Мошенники рассылают поддельные сообщения о задержке посылки, необходимости оплаты дополнительных сборов или подтверждения адреса.
Расследование показало, что группировка использует идентичные мошеннические страницы в разных странах, имитируя государственные службы, почтовые отделения и финансовые учреждения для кражи конфиденциальной информации. Анализ HTTP-заголовков выявленной инфраструктуры позволил экспертам обнаружить дополнительные вредоносные домены через платформу Shodan.
Особое внимание злоумышленники уделили имитации платежной системы Fawry, что свидетельствует о целенаправленной атаке на финансовый сектор. При исследовании автономной системы AS132203, связанной с Tencent Building, были обнаружены домены, подделывающие официальный сайт Egypt Post, демонстрируя масштабное использование общей инфраструктуры для атак на почтовые службы.
Эта же инфраструктура используется для размещения фишинговых страниц, имитирующих UnionPay, Careem и TikTok, что подтверждает практику группировки использовать общие ресурсы для множественных кампаний. На том же автономном номере размещено большое количество других фишинговых и мошеннических страниц.
Основное внимание исследования сместилось на выявление организаторов и установление поставщика фишинга как услуги. Расследование показало, что Smishing Triad распространяет свои услуги преимущественно через Telegram, где рекламирует и продает фишинговые наборы. В старых телеграм-каналах группы было обнаружено видео от участника с псевдонимом "wangduoyu8", демонстрирующее работу платформы фишинга как услуги.
Фишинговый набор позволяет проводить полную кастомизацию и развертывание на виртуальном сервере. После предоставления оператором необходимых учетных данных набор автоматически распаковывается и устанавливается, подготавливая среду для немедленного использования. Помимо имитации американских сервисов, набор предлагает широкий спектр международных шаблонов, включая подделку известных интернет-провайдеров, таких как Du из ОАЭ. Эти шаблоны предназначены для сбора личной информации жертв из разных регионов, значительно расширяя глобальный охват кампаний.
Параллельно с этим наблюдается развитие платформы Darcula, представляющей собой крупномасштабную операцию фишинга как услуги. В прошлом году Darcula использовала более 20 000 доменов, подделывающих известные бренды, для кражи учетных данных пользователей Android и iOS в более чем 100 странах. Компания Netcraft предупреждает, что уже разрабатывается значительно более мощная версия, которую киберпреступники активно тестируют еще до официального релиза.
Новая версия Darcula 3.0 включает несколько значительных улучшений: меры против обнаружения, включая рандомизированные пути развертывания, фильтрацию IP-адресов, блокировку сканеров и ограничения по типам устройств. Обновленная панель управления упрощает управление фишинговыми кампаниями, предоставляет показатели эффективности и журналы похищенных учетных данных в реальном времени, а также уведомления через Telegram при отправке жертвами конфиденциальной информации.
Особую опасность представляет утилита клонирования карт, которая преобразует информацию о похищенных кредитных картах в виртуальные изображения карт, которые можно непосредственно добавлять в приложения цифровых платежей. Согласно данным Netcraft, телеграм-группы, связанные с Darcula, уже рекламируют одноразовые телефоны с предустановленными несколькими украденными картами, что свидетельствует о растущем распространении и коммерциализации этой версии.
Последняя итерация платформы Darcula представляет расширенные возможности на основе искусственного интеллекта, позволяющие операторам автоматически создавать фишинговые страницы одним щелчком мыши, что значительно снижает усилия и требуемую квалификацию для запуска кампаний. Внедрение Darcula 3.0 и ее мощных новых функций делает обнаружение и остановку фишинговых кампаний еще более сложной задачей, а простота использования последней версии гарантирует увеличение объемов фишинга.
Деятельность группировки Smishing Triad и развивающихся операций фишинга как услуги, таких как Darcula, подчеркивает растущую изощренность глобальных фишинговых кампаний. Используя передовые инструменты, шаблоны на основе искусственного интеллекта и широко распространенную инфраструктуру, эти группы могут нацеливаться на пользователей в разных странах и отраслях с беспрецедентной эффективностью. Проведенное расследование подчеркивает важность активной охоты за угрозами, непрерывного мониторинга фишинговой инфраструктуры и повышения осведомленности пользователей для снижения рисков, создаваемых этими кампаниями. Поскольку киберпреступники продолжают внедрять инновации, понимание их тактик, методов и процедур необходимо для построения устойчивой защиты и защиты конфиденциальной информации по всему миру.
Индикаторы компрометации
Domains
- egyptpost.baby
- egyptpost.bond
- egyptpost.icu
- egyptpost.pics
- egyptpost.quest
- egyptpost.rest
- egyptpost.skin
- fawry.autos
- fawry.baby
- fawry.boats
- fawry.bond
- fawry.cfd
- fawry.click
- fawry.club
- fawry.cyou
- fawry.help
- fawry.lat
- fawry.life
- fawry.lol
- fawry.love
- fawry.mom
- fawry.qpon
- fawry.quest
- fawry.rest
- fawry.sbs
- fawry.skin
- fawry.top
- jumia.cfd
- tikt.help
- unionpay.cfd
