Специалисты компании Group-IB обнаружили масштабную фишинговую кампанию, которая с середины 2025 года атакует пользователей в Латинской Америке и постепенно распространилась на 72 страны мира. Злоумышленники подделывают более 260 известных брендов в сферах телекоммуникаций, финансов и программ лояльности. Главная особенность этой операции - изощрённая маскировка: вредоносный контент показывается только тем жертвам, которые соответствуют строгим критериям мобильного устройства и географического положения. Остальные, включая исследователей безопасности, видят лишь безобидную страницу с ошибкой загрузки, стилизованную под интерфейс Cloudflare.
Описание
Кампания получила условное название "Smishing Error524" - от сочетания термина smishing (фишинг через SMS) и кода ошибки 524 (тайм-аут шлюза), которую имитируют мошенники. По данным аналитиков Group-IB, инфраструктура атаки насчитывает 4389 фишинговых доменов. Из них 1851 приходится на Мексику, 529 - на Чили, 258 - на Колумбию. Именно эти три страны стали основными целями в Латинской Америке. При этом операторы фишинга не ограничиваются регионом: 673 домена зафиксированы в Европе (преимущественно Нидерланды и Германия), 238 - в Азиатско-Тихоокеанском регионе (лидирует Австралия), а 405 - в Северной Америке.
Почему Латинская Америка стала полигоном для такой атаки? Аналитики называют три причины: слабый контроль за подменой отправителя SMS у местных операторов, высокая популярность мобильного интернета на фоне низкой осведомлённости населения об угрозах, а также обилие программ лояльности крупных ритейлеров и телеком-компаний. Именно эти программы создают у жертв ложное чувство срочности: "баллы скоро сгорят", "подарок не получен" - такие предлоги заставляют пользователей переходить по ссылкам.
Главная техническая находка исследователей - многослойная архитектура обхода анализа. Когда фишинговый домен запрашивается с IP-адреса, не входящего в список целевых стран, или с настольного браузера, сервер возвращает страницу, которая визуально неотличима от настоящей ошибки Cloudflare: коды 524, 300 или 313. Никаких форм ввода, никаких логотипов брендов, никакого подозрительного JavaScript. Для автоматических сканеров и сотрудников служб поддержки хостеров такой сайт выглядит как сломанный или неправильно настроенный легитимный ресурс. Только когда запрос поступает с мобильного устройства из нужной страны, клиентский код обращается к внешним API геолокации и, проверив параметры, загружает настоящий фишинговый интерфейс.
В отчёте Group-IB подчёркивает, что такая двойная фильтрация встречается далеко не в каждой фишинговой кампании. Это признак зрелой операционной дисциплины, характерной для серьёзных киберпреступных группировок.
Как выглядит атака для рядового пользователя? Всё начинается с SMS: сообщение приходит с номера, подменённого под местный, и содержит срочный предлог - истекающие бонусы, невостребованная доставка или неожиданный выигрыш. Внутри текста - сокращённая ссылка (URL через сервис сокращения). Если пользователь переходит по ней с подходящего мобильного устройства, загружается одностраничное приложение (Single Page Application). Весь функционал закодирован в Base64 и исполняется на стороне клиента, что скрывает вредоносную логику от статического анализа.
Далее жертву просят ввести национальный идентификационный номер - это не вызывает подозрений, так как такие данные часто запрашивают официальные сервисы. После этого на экране появляется персонализированное предложение якобы от бренда (например, "вы выиграли смартфон" или "вам начислено 5000 бонусов"). Затем следуют поля для полного имени, адреса, электронной почты и телефона. И только на последнем шаге - запрос полных данных банковской карты: номер, срок действия, CVV-код.
Кража данных происходит мгновенно - по защищённому WebSocket-соединению (протокол, позволяющий обмениваться данными в реальном времени). Собранная информация упаковывается в бинарные блоки размером от 64 до 1008 байт и отправляется на сервер злоумышленников. Чтобы соединение не разрывалось, используется механизм "heartbeat" - короткие подтверждающие пакеты, которые к тому же собирают данные о поведении пользователя на странице. После отправки формы жертву перенаправляют на настоящий сайт бренда. Это поддерживает иллюзию, что всё прошло успешно, и снижает вероятность немедленных жалоб.
Инфраструктура кампании выстроена с учётом операционной безопасности. Около 30% фишинговых сайтов размещены на облачных серверах Tencent и Alibaba (US). Сверху стоит Cloudflare, который маскирует истинный IP-адрес источника. Такая связка создаёт проблемы для процедуры удаления доменов: даже если Cloudflare блокирует доступ через свой CDN, оригинальный сервер остаётся активным, и мошенники быстро перерегистрируют сайт на новое доменное имя.
Домены регистрируются сериями - короткие имена на дешёвых доменных зонах: .ink, .top, .bond, .click, .icu, .vip, .cyou. Часто в названии встречаются слова rewards, puntos, а также название бренда и код страны (например, rewards-brand-cl.ink или puntos-brand-mx.bond). Такое шаблонное именование позволяет злоумышленникам быстро разворачивать новые копии после блокировки.
Среди наиболее активных IP-адресов, задействованных в кампании, - 47.82.154[.]2 (Alibaba US, 296 подтверждённых доменов), 43.165.6[.]36 (Tencent, 241), 43.159.168[.]186 (Tencent, 232). Все эти адреса многократно фигурируют в чёрных списках фишинговых ресурсов.
Примечательно, что кампания использует готовые наборы инструментов, характерные для модели Phishing-as-a-Service (PhaaS - киберпреступный сервис, продающий фишинговые комплекты другим злоумышленникам). Технический анализ всех функциональных фишинговых страниц выявил единый каркас: фреймворк Vue.js для фронтенда, FormKit для обработки форм, единый эндпоинт /getApp?app_id=XX_XX_XX для загрузки контента, а также стандартные библиотеки вроде Open Sans и Font Awesome для придания легитимного вида. Геолокация определяется через сервис ipapi.co, а поведенческая аналитика собирается с помощью Cloudflare beacon.min.js.
Каковы последствия такой атаки? Для пользователя - потеря денежных средств и компрометация паспортных данных. Для компаний, чьи бренды подделываются, - репутационный ущерб и потеря доверия клиентов. Особенно уязвим телекоммуникационный сектор: по статистике Group-IB, он занимает первое место по количеству фишинговых доменов (1754), за ним следуют финансовые услуги (696) и программы лояльности (488).
Специалисты рекомендуют организациям интегрировать потоки данных об угрозах (threat intelligence) для оперативного получения индикаторов компрометации, а также мониторить массовые регистрации доменов, содержащих названия брендов. Пользователям же стоит помнить главное правило: никогда не переходить по ссылкам из SMS. Если сообщение пришло якобы от банка или оператора связи - лучше зайти на официальный сайт вручную или через приложение. Легитимные компании никогда не запрашивают полные данные карты, включая CVV, через ссылки в мессенджерах или сообщениях.
Кампания "Smishing Error524" - очередное напоминание о том, что киберпреступники активно используют психологическое давление и технические уловки, чтобы обойти защиту. И в этой гонке вооружений единственным надёжным барьером остаётся бдительность самого человека.
Индикаторы компрометации
IPv4
- 154.81.166.17
- 43.159.168.186
- 43.162.84.202
- 43.165.6.36
- 45.135.162.90
- 47.82.154.2
- 8.222.134.149
