Специалисты по информационной безопасности обнаружили масштабную сеть фишинговых ресурсов, работающую по принципу "фишинг-как-услуга" (PhaaS). Злоумышленники подделывают сайты государственных служб, транспортных и логистических компаний Объединенных Арабских Эмиратов и Сингапура. Основная цель - кража учётных данных, платежной информации и компрометация национальных цифровых платформ, вроде UAE Pass.
Описание
В основе кампании лежит продуманная система динамической генерации доменов. Мошенники регистрируют короткие корневые имена в дешёвых и слабо контролируемых зонах .top и .cc. Затем они используют названия легитимных сервисов в качестве поддоменов, создавая крайне убедительные адреса. Например, для атак на логистического оператора Emirates Post используется домен emiratespost.ae.tcsz[.]top. Схожие схемы применяются к дорожному оператору Salik, платежной системе Parkin, полиции Дубая, курьерской службе Aramex и Управлению наземным транспортом Сингапура (LTA).
Технический анализ инфраструктуры выявил ряд характерных признаков. Результаты исследования опубликованы в открытом отчёте, где подробно разбирается архитектура атаки. Ключевым узлом является сервер с IP-адресом 47.254.56[.]221, размещённый в облачной инфраструктуре Alibaba Cloud. Фишинговые страницы оптимизированы под мобильные устройства, используют сертификаты Let's Encrypt для создания иллюзии безопасности HTTPS и применяют механизмы геозонирования. Это означает, что вредоносный контент показывается только пользователям с IP-адресами, принадлежащими ОАЭ и Сингапуру. Таким образом злоумышленники скрывают свою активность от исследователей, поисковых роботов и автоматических систем анализа.
Методология атаки полностью совпадает с тактикой, ранее документированной для группы Smishing Triad. Эта группировка известна тем, что специализируется на программных вымогателях и фишинге, используя SMS-рассылки (смишинг) в качестве основного канала доставки вредоносных ссылок. Схема работы построена по типовому сценарию: жертва получает сообщение, переходит по ссылке на поддельный сайт, вводит свои данные, и они мгновенно перехватываются. Эксперты отмечают, что уровень автоматизации в этой кампании чрезвычайно высок. Система способна в короткие сроки регистрировать десятки новых доменов, выпускать для них сертификаты и разворачивать фишинговые страницы без участия человека.
Почему именно транспортный сектор и госуслуги? Выбор целей не случаен. Пользователи привыкли получать уведомления о штрафах, оплате парковки или статусе посылки. Небольшие суммы платежей редко вызывают подозрения, а сообщения часто содержат призыв к срочным действиям. Финансовое мошенничество остаётся главной движущей силой кампании. Похищенные данные позволяют не только опустошить банковские карты, но и получить доступ к порталу UAE Pass - единой системе цифровой идентификации граждан и резидентов ОАЭ. Компрометация такого аккаунта открывает злоумышленникам доступ к десяткам государственных и коммерческих сервисов.
Стратегические последствия этой атаки выходят далеко за рамки простого воровства денег. Она демонстрирует уязвимость регионов с высоким уровнем цифровизации. ОАЭ и Сингапур, где большая часть взаимодействия с государством переведена в онлайн, становятся идеальной мишенью для таких атак. Инцидент подтверждает глобальный тренд: фишинг перестаёт быть кустарным промыслом. Он превращается в индустрию с готовой инфраструктурой, которую могут арендовать даже технически не подготовленные преступники.
Для специалистов по защите информации существуют чёткие индикаторы компрометации. Опасность представляют любые ссылки, содержащие четырёхбуквенные случайные домены в зонах .top и .cc, особенно если они имитируют государственные порталы. Отсутствие в URL названия официального сервиса в основной части домена (например, не emiratespost[.]ae, а ae.tcsz[.]top) является верным признаком подделки. Рекомендуется усилить мониторинг DNS-запросов к подозрительным доменам, а также обращать внимание на аномальный трафик с мобильных устройств, пытающийся передать данные через HTTP POST-запросы.
Кампания, развернутая вокруг домена emiratespost.ae.tcsz[.]top, - это не единичный случай, а часть более широкой экосистемы. Она показывает, насколько серьёзно преступники относятся к подготовке атак на высоконадёжные цифровые среды. Игнорировать эту угрозу больше нельзя, и компаниям, особенно работающим с чувствительными данными клиентов на Ближнем Востоке и в Юго-Восточной Азии, стоит пересмотреть свои стратегии защиты от фишинга, сделав упор на поведенческий анализ и обучение персонала.
Индикаторы компрометации
IPv4
- 47.254.56.221
Domains
- aramex.com.tcrw.top
- dubaipolice.trsb.top
- emiratespost.ae.tcsz.top
- onemotoring.Ita.govl.top
- parkin.ae.fnxb.top
- salik.ae.tcrg.top