С момента объявления ФБР 1 год назад компания Palo Alto обнаружила и заблокировала более 91 500 корневых доменов, используемых для SMS-фишинга (smishing).
Описание
- В апреле 2025 года Palo Alto наблюдали постоянно высокий объем зарегистрированных доменов smishing.
- Пик количества зарегистрированных доменов пришелся на март 2025 года - 26 328 доменов за месяц.
- Только за последние три месяца наша телеметрия выявила более 31 миллиона запросов к доменам, вовлеченным в эту деятельность.
- 75,4 % этих доменов имеют одного и того же регистратора: Гонконг (Dominet (HK) Limited).
- В 2025 году мы наблюдали все большее количество smishing-трафика от этой кампании по сравнению с 2024 годом.
- Смишинговые домены недолговечны: 70 % трафика проходит в течение 7 дней после регистрации домена.
- Блокирование вновь зарегистрированных доменов (NRD) в течение месяца позволяет эффективно отсеять 85 % этого фишингового трафика.
- Атакующие используют маскировочные техники для этой деятельности и все чаще подбирают приманки, основываясь на геолокации телефонных номеров получателей.
- Первоначальное объявление ФБР в апреле 2024 года доступно по адресу: https://www.ic3.gov/PSA/2024/PSA240412.
- Эта активность обычно соответствует четырем уникальным шаблонам доменных имен:
- com-[a-z0-9]*.(xin|top|vip|cc|sbs|cfd|xyz|cyou|icu|info|world|live|win|homes|help|one|us|shop|fun|life)
- paytoll[a-z0-9].(top|vip|xin|world|icu|com)
- delivery[a-z0-9]*.*
- gov-[a-z0-9]*. (cc|com|xin|top|online|org|site)
- ПРИМЕЧАНИЕ: Приведенные выше поисковые выражения не являются исчерпывающим списком доменов верхнего уровня (TLD), но дают общее представление о шаблонах корневых доменных имен.
Индикаторы компрометации
Domains
- com-ic1.top
- com-ikbf.win
- gov-mfc.com
- paytollwec.vip
URLs
- https://driveky.gov-mfc.com/pay
- https://ncquickpass.com-ikbf.win/us
- https://paytollwec.vip/ezdrivema
- https://usps.com-ic1.top/us
