Hacking
Επιχείρηση παγκόσμιας κλίμακας: Η απειλή του Smishing Triad
Οι απειλές του Smishing Triad εξελίσσονται με 194.000 κακόβουλα domains, στοχεύοντας σε παγκόσμιες υπηρεσίες με κερδοφόρες επιθέσεις.
Η νέα απειλή του Smishing Triad
Η παγκόσμια κοινότητα της κυβερνοασφάλειας είναι σε συναγερμό, καθώς αποκαλύφθηκε ένα εντυπωσιακά μεγάλης κλίμακας smishing (SMS phishing) σχέδιο. Από την 1η Ιανουαρίου 2024, η ομάδα απειλής που ονομάζεται Smishing Triad έχει συνδεθεί με περισσότερα από 194.000 κακόβουλα domains. Αυτή η εκστρατεία στοχεύει σε ένα ευρύ φάσμα υπηρεσιών παγκοσμίως, όπως αποκαλύπτουν πρόσφατα ευρήματα από την Palo Alto Networks Unit 42.
Η υποδομή της επίθεσης και οι τεχνικές λεπτομέρειες
Παρά το γεγονός ότι τα domains είναι καταχωρημένα μέσω ενός καταχωρητή με έδρα το Χονγκ Κονγκ και χρησιμοποιούν Κινέζικους nameservers, η υποδομή της επίθεσης φιλοξενείται κυρίως σε δημοφιλείς cloud υπηρεσίες των Ηνωμένων Πολιτειών. Οι ερευνητές ασφαλείας Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, και Moe Ghasemisharif αναφέρουν ότι η δραστηριότητα αυτή αποδίδεται σε μια ομάδα με συνδέσεις στην Κίνα. Η ομάδα αυτή κατακλύζει κινητές συσκευές με απατηλά μηνύματα για παραβάσεις διοδίων και εσφαλμένες παραδόσεις πακέτων, προσπαθώντας να παρασύρει τους χρήστες να δώσουν ευαίσθητες πληροφορίες.
Κερδοφόρα επιχείρηση και εξελιγμένες τεχνικές
Οι οικονομικές απολαβές από αυτές τις εκστρατείες είναι τεράστιες, με την ομάδα να έχει κερδίσει πάνω από 1 δισεκατομμύριο δολάρια τα τελευταία τρία χρόνια, σύμφωνα με έκθεση της The Wall Street Journal. Η χρήση των phishing kits, που συνδέονται με τη Smishing Triad, έχει αυξηθεί σημαντικά, με στόχο κυρίως λογαριασμούς χρηματιστηριακών εταιρειών για την απόκτηση τραπεζικών διαπιστευτηρίων και κωδικών επαλήθευσης.
Η εξέλιξη της Smishing Triad
Η Smishing Triad έχει εξελιχθεί από έναν απλό προμηθευτή phishing kits σε μια “υπερκινητική κοινότητα” που συγκεντρώνει διάφορους απειλητικούς παράγοντες, καθένας από τους οποίους παίζει κρίσιμο ρόλο στο οικοσύστημα του phishing-as-a-service (PhaaS). Αυτό περιλαμβάνει προγραμματιστές phishing kits, μεσίτες δεδομένων, πωλητές domains, παρόχους φιλοξενίας, spammers, σαρωτές ζωντάνιας και σαρωτές λίστας αποκλεισμού.
Η στρατηγική των domains και η αποφυγή ανίχνευσης
Η ανάλυση της Unit 42 αποκάλυψε ότι σχεδόν 93,200 από τα 136,933 root domains (68.06%) είναι καταχωρημένα υπό την Dominet (HK) Limited, έναν καταχωρητή με έδρα το Χονγκ Κονγκ. Οι τομείς με το πρόθεμα “com” αποτελούν τη σημαντική πλειοψηφία, αν και έχει σημειωθεί αύξηση στην καταχώρηση τομέων “gov” τους τελευταίους τρεις μήνες. Από τα αναγνωρισμένα domains, το 39.964 (29.19%) ήταν ενεργά για δύο ημέρες ή λιγότερο, το 71.3% ήταν ενεργά για λιγότερο από μία εβδομάδα, και το 82.6% ήταν ενεργά για δύο εβδομάδες ή λιγότερο.
Η τακτική του “ramp and dump” και οι οικονομικοί κίνδυνοι
Η τακτική του “ramp and dump” που χρησιμοποιείται από τους επιτιθέμενους, περιλαμβάνει την χειραγώγηση των τιμών των μετοχών χωρίς να αφήνει σχεδόν κανένα ίχνος, αυξάνοντας έτσι τους οικονομικούς κινδύνους. Οι επιτιθέμενοι αυτοί έχουν εξελιχθεί σε μια συλλογικότητα που συνδέει διάφορους απειλητικούς παράγοντες, καθένας από τους οποίους παίζει κρίσιμο ρόλο στην επιτυχή εκτέλεση της εκστρατείας.
Η γεωγραφική διάσταση της εκστρατείας
Η υποδομή των επιθέσεων για τα domains που παράγουν το μεγαλύτερο όγκο κίνησης βρίσκεται κυρίως στις Ηνωμένες Πολιτείες, ακολουθούμενη από την Κίνα και τη Σιγκαπούρη. Οι εκστρατείες έχουν μιμηθεί τράπεζες, ανταλλακτήρια κρυπτονομισμάτων, υπηρεσίες ταχυδρομείου και παράδοσης, αστυνομικές δυνάμεις, κρατικές επιχειρήσεις, ηλεκτρονικά διόδια, εφαρμογές συνεπιβατισμού, υπηρεσίες φιλοξενίας, μέσα κοινωνικής δικτύωσης και πλατφόρμες ηλεκτρονικού εμπορίου στη Ρωσία, την Πολωνία και τη Λιθουανία.
Επίθεση σε κυβερνητικές υπηρεσίες και η χρήση του ClickFix
Σε εκστρατείες phishing που μιμούνται κυβερνητικές υπηρεσίες, οι χρήστες συχνά ανακατευθύνονται σε σελίδες προορισμού που ισχυρίζονται ότι υπάρχουν απλήρωτες χρεώσεις διοδίων και άλλες υπηρεσίες. Σε ορισμένες περιπτώσεις, χρησιμοποιούν το ClickFix για να εξαπατήσουν τους χρήστες ώστε να εκτελέσουν κακόβουλο κώδικα με το πρόσχημα της ολοκλήρωσης ελέγχου CAPTCHA.
Η εκστρατεία smishing που μιμείται τις υπηρεσίες διοδίων των Ηνωμένων Πολιτειών δεν είναι απομονωμένη. Αντίθετα, πρόκειται για μια εκστρατεία μεγάλης κλίμακας με παγκόσμια εμβέλεια, που μιμείται πολλές υπηρεσίες σε διάφορους τομείς. Η απειλή είναι εξαιρετικά αποκεντρωμένη, με τους επιτιθέμενους να καταχωρούν και να κυκλοφορούν χιλιάδες domains καθημερινά.
