СМС как средство обмана: зачем китайские хакеры «Smishing Triad» притворятся госслужащими из ОАЭ

Исследователи кибербезопасности из компании Resecurity зафиксировали новую серию атак, исходящих от китаеязычных киберпреступников, известных как «Smishing Triad». В них хакеры маскируются под государственные ведомства Объединённых Арабских Эмиратов, отправляя вредоносные СМС-сообщения с целью сбора конфиденциальной информации как местных жителей, так и приезжих иностранцев.

Как сообщают специалисты, киберпреступники используют сервисы сокращения ссылок, такие как Bit.ly, чтобы скрыть настоящий домен и местоположение поддельного сайта. Такой подход помогает хакерам защититься от раскрытия своей вредоносной деятельности.

Первые упоминания «Smishing Triad» появились совсем недавно, буквально в сентябре этого года. Группа активно использует взломанные учётные записи iCloud для отправки мошеннических сообщений, в результате чего успешно похищает личные данные пользователей и проводит финансовые махинации.

Киберпреступники также предлагают готовые наборы для СМС-мошенничества по цене $200 в месяц другим злоумышленникам, а также занимаются атаками на платформы электронной коммерции в стиле Magecart , внедряя на уязвимые сайты вредоносный код для кражи данных клиентов.

Исследователи Resecurity отмечают, что используемая злоумышленниками FaaS-модель позволяет «Smishing Triad» масштабировать свои операции, давая другим киберпреступникам возможность использовать инструменты группы для проведения независимых атак.

Новая волна вредоносной деятельности нацелена на лиц, недавно обновивших свои визы на проживание в ОАЭ, путём распространения вредоносных СМС-сообщений, что часто называют смс-фишингом или «смишингом». Кампания затрагивает устройства на базе Android и iOS, вероятно, используя технологии подделки СМС или спам-сервисы.

Получатели, переходящие по встроенной в сообщение ссылке, попадают на поддельную страницу, имитирующую веб-сайт Федерального Управления ОАЭ по вопросам гражданства, где их и просят ввести свои личные данные.

Отличительной чертой данной кампании является использование геолокационного механизма, активирующего фишинговую форму только при доступе с IP-адресов и мобильных устройств, находящихся на территории ОАЭ.

По словам экспертов Resecurity, злоумышленники могли получить базовую информацию о жителях и иностранцах в ОАЭ через утечки данных, компрометацию деловых электронных писем, базы данных, купленные в даркнете, и прочих источниках.

Примечательно, что вредоносная кампания «Smishing Triad» во многом совпадает с деятельностью теневого ресурса OLVX Marketplace, о котором мы рассказывали неделю назад. Как сообщают исследователи ZeroFox, на платформе продаются тысячи продуктов, включая фишинговые наборы, веб-оболочки и скомпрометированные учётные данные.

В свою очередь, недавний отчёт Trellix раскрывает, как киберпреступники используют открытый инструмент Predator, предназначенный для борьбы с мошенничеством и определения запросов от автоматизированных систем, в исключительно злонамеренных целях для проведения различных фишинговых кампаний.

Таким образом, исследователи в области IT-безопасности отмечают, что киберпреступники всегда ищут новые способы обхода систем защиты, а открытые инструменты, такие как Predator, или готовые инструменты по подписке, как то, что предлагает «Smishing Triad» или OLVX Marketplace, — значительно упрощают данную задачу, позволяя хакерам гораздо легче достигать своих злонамеренных целей.