Главная страница » IOC
0
1 день
IOC

Компания SMS-фишинга на платных дорогах США

security

Компания Cisco Talos обнаружила широкомасштабную кампанию SMS-фишинга, нацеленную на пользователей платных дорог в США.

Описание

Фишеры отправляют жителям нескольких штатов США SMS-сообщения, притворяясь автоматическими платежными сервисами платных дорог, и занимаются мошенничеством, пытаясь украсть финансовые средства. В SMS-сообщениях жертвам говорится о неоплаченном счете за проезд, предлагая оплатить сумму менее 5 долларов. Если жертва переходит по ссылке, она вводит свои данные, включая информацию о кредитной карте, которую злоумышленники в итоге получают. В апреле 2024 года Центр жалоб на интернет-преступления ФБР предупреждал о подобных фишинговых атаках на платных дорогах.

Cisco Talos выявила, что фишинговые домены были зарегистрированы с опечатками в начале и середине октября 2024 года и разрешаются по конкретным IP-адресам, часть из которых была уже замечена ранее. Компания продолжает наблюдать за новыми доменами, что свидетельствует о продолжении кампании. Злоумышленники, вероятно, используют набор для фишинга, разработанный агентом «Ван Дуо Ю», который также известен связью с киберпреступной группой «Смишинг-триада», осуществлявшей фишинговые атаки на почтовые службы и финансовый сектор.

В Telegram-канале DY Tongbu были обнаружены ссылки на фишинговые наборы, нацеленные на платные системы проезда в США. Канал поделился информацией о фишинговом модуле, имитирующем систему оплаты проезда EZDriveMA штата Массачусетс, а также модуле, нацеленном на клиентов North Texas Toll Authority. Разработчиком этих фишинговых модулей является Ван Дуо Ю. Публичный Telegram-канал насчитывает более 4 400 подписчиков.

Возможно, что злоумышленники получили доступ к информации о пользователях, ставшей общедоступной в результате утечки данных из крупных баз данных. Хотя Talos не имеет доказательств того, что кампания фишинга на платных дорогах связана с такими утечками. Расследование продолжается, а Talos продолжает наблюдать и обнаруживать новые домены, связанные с мошенничеством на платных дорогах.

Indicators of Compromise

IPv4

  • 43.156.47.209
  • 45.152.115.161
  • 82.147.88.22

Domains

  • e-zpass.com-etcjr.xin
  • e-zpass.vipsm.xin
  • e-zpass.vipss.xin
  • e-zpassny.com-etkh.xin
  • ezp-va.com
  • fl-pass.com
  • fl-road.com
  • goodtogo-wa.com
  • gov-pa.com
  • gtgwa.com
  • ilroad.com
  • iltolls.com
  • ks-drive.com
  • ks-lane.com
  • lane-ks.com
  • lane-pa.com
  • link-pa.com
  • mygood-2go.com
  • oh-route.com
  • pa-plate.com
  • pass-fl.com
  • plate-pa.com
  • toll-va.com
  • tollwa.com
  • tx-account.com
  • tx-road.com
  • txtag.vipnd.top
  • txtag.vipnu.top
  • txtag.vipsf.top
  • txtag.vipso.top
  • va-ez.com
  • va-lane.com
  • va-route.com
  • va-toll.com
  • wagood-togo.com
  • wagtg.com
  • wa-gtg.com
  • ws-dot.com
  • ws-gtg.com
Комментарии: 0
Похожие записи
0
12 дней
IOC

Gamaredon использует LNK-файлы для распространения бэкдора Remcos

security
Gamaredon использует вредоносные LNK-файлы для распространения бэкдора Remcos в рамках своей кампании, нацеленной на пользователей в Украине. Эта кампания началась в ноябре 2024 года и до сих пор активна.
0
22 дня
IOC

UAT-5918 нацелен на объекты критической инфраструктуры на Тайване

security
Cisco Talos обнаружила долгосрочную вредоносную кампанию, которую они отслеживают под идентификатором UAT-5918. Эта кампания, активная по крайней мере с 2023 года, преследует цель получить устойчивый доступ
0
1 месяц
IOC

Более 10 тысяч доменов зарегистрировано для смишинга, выдающего себя за службы платных услуг и доставки посылок

security
Злоумышленник, использующий один и тот же шаблон домена, зарегистрировал более 10 тысяч доменов для различных SMS-фишинговых афер (smishing). Описание  Все корневые имена доменов начинаются со строки: com-.