Эксперты по кибербезопасности из компании Palo Alto Networks сообщают о массовой кампании смс-фишинга (smishing), в которой злоумышленники активно имитируют официальные сообщения от ведущих американских операторов сотовой связи. Эта активность представляет собой очередной этап эволюции ранее наблюдавшихся атак. Мошенники используют тему «истекающих бонусных баллов», чтобы обманным путем завладеть учетными данными жертв через поддельные веб-страницы.
Описание
Кампания демонстрирует расширение и смену тактики, теперь фокусируясь на клиентах Verizon, AT&T и T-Mobile. Исследователи отмечают всплеск числа приманок с уведомлениями о «баллах за вознаграждение». Анализ инфраструктуры показал, что в рамках этой кампании задействовано более 21 000 доменных имён. В частности, в период с 12 по 19 января ежедневно регистрировалось в среднем 268 новых корневых доменов, а пик пришёлся на 12 января, когда было зарегистрировано 348 доменов.
Приманка-сообщение утверждает, что у пользователя скоро истекает срок действия большого количества накопленных баллов. Ссылка в смс ведёт на убедительно подделанные порталы «Проверки участника». Эти фишинговые страницы запрашивают номер телефона жертвы. После его ввода злоумышленники могут отправить на телефон запрос на доступ к учётной записи оператора в попытке её скомпрометировать.
Сообщения рассылаются с различных телефонных номеров. Интересно, что атакующие отправляют эти фишинговые тексты как групповые сообщения нескольким пользователям одновременно, но переименовывают групповой чат, используя SMS short codes (короткие коды для рассылок). Реальные номера отправителей имеют коды стран Демократической Республики Конго (+243) и Марокко (+212). Часть SMS-сообщений также отправляется через электронную почту. Поддельные веб-сайты хостятся на популярных IP-адресах сетей доставки контента (CDN), принадлежащих автономной системе AS 16509.
Ключевым доказательством единого источника атаки является идентичная текстовая строка, присутствующая на фишинговых страницах, имитирующих все три оператора. Текст гласит: «Чтобы узнать количество оставшихся баллов и обменять их на призы, пожалуйста, введите свой мобильный номер». Это прямо указывает на то, что за всеми случаями стоит одна и та же угрозовая группа.
Наблюдаемая кампания обладает несколькими характерными атрибутами. Во-первых, это согласованная инфраструктура: кампания использует одних и тех же регистраторов доменов, схожую хостинговую инфраструктуру и похожие техники маскировки целевых страниц. Во-вторых, эксперты отмечают высокое качество фишинговых наборов (phishing kits). Эти наборы хорошо сделаны и были нацелены на разных американских операторов практически одновременно, что говорит о профессионализме и хорошей организации атакующих.
Данная кампания является напоминанием о том, что социальная инженерия остается крайне эффективным инструментом в руках киберпреступников. Пользователям следует проявлять особую бдительность в отношении любых неожиданных сообщений, даже если они, казалось бы, приходят от известного и доверенного отправителя. Специалисты рекомендуют никогда не переходить по ссылкам из подобных смс и не вводить свои персональные данные на открывшихся страницах. Вместо этого необходимо напрямую, через официальное приложение или сайт оператора, проверить статус своего аккаунта.
Индикаторы компрометации
URLs
- https://att.aiphy.cc/pay
- https://att.lqoue.icu/pay
- https://att.yjmtag.icu/pay
- https://t-mobile.awfxb.cc/pay?qr=gsmx7a
- https://t-mobile.butiz.cc/pay?qr=6m68j5
- https://t-mobile.rikiho.icu/pay
- https://verizon.bsdfy.cc/Ih1fFA3W
- https://verizon.com-aaz.com/A1HATiJ4?KPBO=ygJiam
- https://verizon.com-aba.com/3IcOv0np?FKUR=ZDLzgb
- https://verizon.com-kiv.top/run/home.html
- https://verizon.wlonfdk.cc/2blKawZX?GTYJ=ZMSLYk/
- https://verizon.xtqaa.icu/pay?qr=69ec19
