Тысячи самозваных доменов используются в масштабной фишинговой кампании по выдаче себя за бренд
Китайская хакерская группа, известная как ‘Fangxiao’, использует тысячи самозваных доменов, чтобы нацелить их на жертв в широкомасштабной фишинговой кампании
Тысячи людей подвергаются риску фишинговой кампании Fangxiao
Масштабная фишинговая кампания, проводимая китайской хакерской группой ‘Fangxiao’, подвергает риску тысячи людей. Эта кампания использовала 42 000 самозваных доменов для проведения фишинговых атак. Эти самозваные домены предназначены для перенаправления пользователей на рекламные приложения (вредоносные программы), сайты подарков и сайты знакомств
Cyjax, компания, занимающаяся кибербезопасностью и решением проблем угроз, обнаружила 42 000 фальшивых доменов, использованных в этой кампании. В блоге Cyjax, написанном Эмили Деннисон и Аланой Виттен, мошенничество было описано как изощренное, способное ‘использовать репутацию международных, надежных брендов в различных вертикалях, включая розничную торговлю, банковское дело, путешествия, фармацевтику, туризм и энергетику’
Афера начинается с рассылки вредоносного сообщения в WhatsApp, в котором выдается за доверенный бренд. Примерами таких брендов являются Emirates, Coca-Cola, McDonald’s и Unilever. Это сообщение предоставляет получателю ссылку на веб-страницу, которой придается привлекательность. Сайт перенаправления зависит от IP-адреса адресата, а также от его пользовательского агента
Например, McDonald’s может утверждать, что проводит бесплатную раздачу. Когда жертва завершает регистрацию для участия в акции, может начаться загрузка вредоносной программы Triada Trojan. Вредоносная программа также может быть установлена после загрузки определенного приложения, которое жертве предлагается установить для продолжения участия в акции
Злоумышленники защищены CloudFlare
В своем блоге Cyjax отметил, что инфраструктура Fangxiao в основном защищена CloudFlare, американской сетью доставки контента (CDN). Также было отмечено, что самозваные домены были созданы на GoDaddy, Namecheap и Wix, а их имена часто менялись
Большинство этих фишинговых доменов были зарегистрированы в зоне.top, а остальные – в зонах.cn,.cyou,.xyz,.tech и.work
Группа Fangxiao не является чем-то новым
Хакерская группа Fangxiao существует уже некоторое время. Домены, используемые в этой кампании, были впервые замечены Cyjax в 2019 году, и с тех пор их число постоянно растет. В октябре 2022 года Fangxiao добавила более 300 уникальных доменов всего за один день
Не подтверждено на 100%, что группа базируется в Китае, но Cyjax определил это местоположение с высокой степенью достоверности. Одним из показателей этого является использование мандаринского языка в одной из раскрытых панелей управления группы.Cyjax также предположил, что целью кампании, скорее всего, является денежная выгода
Фишинговые кампании на подъеме
Фишинг – одна из самых популярных тактик киберпреступности на сегодняшний день, которая может принимать самые разные формы. Выявить фишинговые атаки, особенно изощренные, бывает непросто. Спам-фильтры и антивирусные программы могут быть использованы для борьбы с фишинговыми атаками, но все же важно доверять своей интуиции и избегать любых сообщений, которые кажутся не совсем правильными
Комментировать