Cibercriminosos chineses lançam uma grande campanha de Smishing no iMessage nos EUA
4 de Setembro de 2023

Uma nova campanha de smishing em larga escala está mirando os EUA, enviando iMessages de contas Apple iCloud comprometidas com o objetivo de conduzir roubo de identidade e fraude financeira.

"Os atores de ameaças que falam chinês por trás desta campanha estão operando um golpe de texto de rastreamento de pacotes enviado via iMessage para coletar informações de identificação pessoal (PII) e credenciais de pagamento das vítimas, em prol do roubo de identidade e fraude de cartão de crédito", disse a Resecurity em uma análise publicada na semana passada.

O grupo de cibercrime, apelidado de Smishing Triad, também está no negócio de "fraude como serviço", oferecendo a outros atores kits de smishing prontos para uso via Telegram que custam $200 por mês.

Esses kits se passam por populares serviços de correio e entrega nos EUA, Reino Unido, Polônia, Suécia, Itália, Indonésia, Malásia, Japão e outros países.

Um aspecto importante da atividade é o uso de contas Apple iCloud violadas como vetor de entrega para enviar mensagens de falha na entrega de pacotes, instando os destinatários a clicarem em um link para reagendar a entrega e inserir suas informações de cartão de crédito em um formulário falso.

A análise da Resecurity do kit de smishing revelou uma vulnerabilidade de injeção SQL que, segundo eles, permitiu recuperar mais de 108.044 registros de dados das vítimas.

"Considerando a vulnerabilidade identificada ou possível backdoor, é possível que membros-chave do 'Smishing Triad' tenham organizado um canal oculto para coletar resultados com dados pessoais e de pagamento interceptados de outros membros e clientes que utilizam seu kit", disse a empresa.

"Esse artesanato é amplamente utilizado por cibercriminosos em ladrões de senhas e kits de phishing, permitindo que eles lucrem com as atividades de seus clientes, ou pelo menos monitorar facilmente suas atividades apenas fazendo login em um painel de administração."

O grupo do Telegram associado ao Smishing Triad inclui designers gráficos, desenvolvedores web e vendedores, que supervisionam o desenvolvimento de kits de phishing de alta qualidade, bem como seu marketing em fóruns de cibercrime na dark web.

Vários membros vietnamitas do grupo foram observados colaborando com os principais atores de ameaça nesses esforços, com estes também colaborando com grupos semelhantes motivados financeiramente para expandir suas operações.

Golpes de texto de rastreamento de pacotes à parte, o Smishing Triad também é conhecido por se envolver em ataques estilo Magecart que infectam plataformas de compras online com injeções de códigos maliciosos para interceptar dados do cliente.

"O Smishing continua sendo um vetor de ataque em rápida evolução que visa consumidores em todo o mundo", disse a Resecurity.

"As táticas, técnicas e procedimentos do grupo de ameaças combinam dois métodos bem estabelecidos: engenharia social e a implantação de um kit de phishing via iMessage.

Como os usuários tendem a confiar mais nos canais de comunicação SMS e iMessage do que no e-mail, esse ataque comprometeu com sucesso inúmeras vítimas."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...