Китайские злоумышленники развернули масштабную фишинговую кампанию, подделывая сайты известных брендов для кражи платежных данных

phishing

Специалисты по кибербезопасности из Silent Push обнаружили масштабную фишинговую кампанию, связанную с китайской киберпреступной группировкой. Злоумышленники создали тысячи поддельных сайтов, маскирующихся под известные торговые марки, включая Apple, PayPal, Michael Kors, REI, Wayfair и другие, чтобы обманывать пользователей и воровать их платежные данные.

Описание

Инцидент был выявлен после публикации мексиканского журналиста Игнасио Гомеса Вильясеньора, который обратил внимание на фишинговые атаки во время "Hot Sale 2025" - мексиканского аналога "Черной пятницы". Однако дальнейшее расследование показало, что кампания охватывает не только Мексику, но и другие страны, ориентируясь на англо и испаноязычную аудиторию.

Ключевым доказательством китайского происхождения злоумышленников стали технические артефакты в инфраструктуре фишинговых сайтов - китайские символы и слова в коде, а также использование китайских сервисов. Это указывает на то, что разработчики сети находятся в Китае.

Фишинговая схема работает следующим образом: пользователи попадают на поддельные сайты, которые выглядят как официальные страницы популярных брендов. Там предлагаются товары по заниженным ценам, но вместо реальных покупок жертвы вводят данные своих карт, которые затем попадают в руки мошенников.

Особую опасность представляет интеграция настоящих платежных сервисов, таких как Google Pay, Mastercard, Visa и PayPal. Хотя Google Pay использует виртуальные номера карт для защиты данных, мошенники обходят эту защиту, просто не отправляя товары после оплаты. Это делает атаку еще более изощренной, так как пользователи могут не сразу заподозрить обман.

Аналитики Silent Push обнаружили множество грубых ошибок в работе фишинговых сайтов. Например, на домене harborfrieght[.]shop (с намеренной опечаткой в названии бренда Harbor Freight Tools) размещался клон сайта Wrangler Jeans. Другие поддельные ресурсы, такие как guitarcentersale[.]com или omahasteaksbox[.]com, копировали дизайн оригиналов, но содержали явные несоответствия - например, вместо музыкальных инструментов предлагались детские аксессуары, а мясные продукты заменялись на сомнительные товары.

Некоторые сайты использовали одинаковые шаблоны, что подтверждает их принадлежность к одной сети. Например, nordstromltems[.]com (с ошибкой в слове "items") полностью дублировал контент с поддельного Guitar Center.

Несмотря на то что часть фишинговых сайтов уже заблокирована хостинг-провайдерами, тысячи из них остаются активными, продолжая обманывать пользователей. Silent Push рекомендует компаниям и рядовым потребителям быть крайне осторожными при совершении онлайн-покупок, всегда проверять URL-адреса и использовать двухфакторную аутентификацию для защиты платежей.

Кибербезопасность становится критически важной в эпоху цифровых транзакций, и подобные кампании демонстрируют, насколько изощренными стали методы мошенников. Silent Push продолжает мониторинг этой угрозы и будет публиковать новые данные по мере их поступления.

Индикаторы компрометации

Domains

  • brooksbrothersofficial.com
  • cotswoldoutdoor-euro.shop
  • guitarcentersale.com
  • harborfrieght.shop
  • josbankofficial.com
  • nordstromltems.com
  • portal.oemsaas.shop
  • rizzingupcart.com
  • tommyilfigershop.com
  • tumioutlets.com
Комментарии: 0