Os atores de ameaças que falam chinês por trás do Smishing Triad foram observados se passando pela Autoridade Federal dos Emirados Árabes Unidos para Identidade e Cidadania para enviar mensagens SMS maliciosas com o objetivo final de coletar informações sensíveis de residentes e estrangeiros no país.
"Esses criminosos enviam links maliciosos para os dispositivos móveis de suas vítimas por meio de SMS ou iMessage e usam serviços de encurtamento de URL como o Bit.ly para randomizar os links que enviam", disse a Resecurity em um relatório publicado esta semana.
"Isso os ajuda a proteger o domínio e a localização de hospedagem do site falso".
Smishing Triad foi documentada pela primeira vez pela empresa de cibersegurança em setembro de 2023, destacando o uso do grupo de contas comprometidas da Apple iCloud para enviar mensagens para realização de roubo de identidade e fraude financeira.
O ator de ameaça também é conhecido por oferecer kits de smishing prontos para uso à venda para outros cibercriminosos por $200 por mês, além de participar de ataques ao estilo Magecart em plataformas de comércio eletrônico para injetar código malicioso e furtar dados do cliente.
"Este modelo de fraude como serviço (FaaS) permite ao 'Smishing Triad' escalar suas operações, capacitando outros cibercriminosos a utilizar suas ferramentas e lançar ataques independentes", observou a Resecurity.
A última onda de ataques é projetada para atingir pessoas que recentemente atualizaram seus vistos de residência com mensagens prejudiciais.
A campanha smishing se aplica tanto a dispositivos Android quanto iOS, com os operadores provavelmente usando spoofing de SMS ou serviços de spam para perpetrar o esquema.
Os destinatários que clicam no link incorporado à mensagem são direcionados para um site fraudulento e semelhante ("rpjpapc[.]top") que se passa pela Autoridade Federal dos EAU para Identidade, Cidadania, Alfândega e Segurança Portuária (ICP), que os solicita a inserir suas informações pessoais, como nomes, números de passaporte, números de celular, endereços e informações de cartão.
O que torna a campanha notável é o uso de um mecanismo de geofencing para carregar o formulário de phishing apenas quando visitado a partir de endereços IP e dispositivos móveis baseados nos EAU.
"Os perpetradores deste ato podem ter acesso a um canal privado onde obtiveram informações sobre residentes dos EAU e estrangeiros que vivem ou visitam o país", disse a Resecurity.
"Isso pode ser obtido através de violações de dados de terceiros, comprometimentos de emails comerciais, bancos de dados comprados na dark web ou outras fontes."
A última campanha do Smishing Triad coincide com o lançamento de um novo mercado subterrâneo conhecido como OLVX Marketplace ("olvx[.]cc") que opera na web clara e afirma vender ferramentas para realizar fraudes online, como kits de phishing, shells da web e credenciais comprometidas.
"Embora o mercado OLVX ofereça milhares de produtos individuais em várias categorias, seus administradores do site mantêm relacionamentos com vários cibercriminosos que criam kits de ferramentas personalizados e podem obter arquivos especializados, aumentando assim a capacidade da OLVX de manter e atrair clientes para a plataforma", disse ZeroFox.
Os Criminosos Cibernéticos Usam Inadequadamente a Ferramenta de Detecção de Bots Predador para Ataques de Phishing
A revelação ocorre à medida que a Trellix revelou como os atores de ameaças estão aproveitando o Predator, uma ferramenta aberta projetada para combater fraudes e identificar solicitações originadas de sistemas automatizados, bots ou crawlers da web, como parte de várias campanhas de phishing.
O ponto de partida do ataque é um e-mail de phishing enviado a partir de uma conta anteriormente comprometida e contendo um link malicioso, que, quando clicado, verifica se a solicitação de entrada vem de um bot ou de um rastreador, antes de redirecionar para a página de phishing.
A empresa de cibersegurança disse que identificou vários artefatos onde os atores de ameaças repurporam a ferramenta original fornecendo uma lista de links codificados ao invés de gerar links aleatórios dinamicamente ao detectar que um visitante é um bot.
"Cibercriminosos estão sempre procurando novas maneiras de evitar a detecção pelos produtos de segurança das organizações", disseram os pesquisadores de segurança Vihar Shah e Rohan Shah.
"Ferramentas de código aberto como essas facilitam suas tarefas, pois podem usar prontamente essas ferramentas para evitar a detecção e atingir mais facilmente seus objetivos maliciosos."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...