Desde 1º de janeiro de 2024, mais de 194 mil domínios maliciosos foram identificados como parte de uma ampla campanha de smishing em andamento, que mira diversos serviços ao redor do mundo.
A descoberta decorre de uma análise recente da Unit 42, área de pesquisa em segurança da Palo Alto Networks.
Embora esses domínios estejam registrados por um provedor de Hong Kong e utilizem nameservers chineses, os pesquisadores destacam que a infraestrutura por trás dos ataques está majoritariamente hospedada em serviços populares de nuvem dos Estados Unidos.
A atividade foi atribuída a um grupo ligado à China, conhecido como Smishing Triad.
Esse coletivo é especialista em inundar celulares com mensagens falsas sobre supostas infrações de pedágio e problemas em entregas de encomendas, induzindo as vítimas a agirem rapidamente e fornecerem dados sensíveis.
Segundo o jornal The Wall Street Journal, essas campanhas são altamente lucrativas, tendo gerado mais de US$ 1 bilhão nos últimos três anos para os criminosos envolvidos.
Um relatório recente da Fortra revela que os kits de phishing usados pelo Smishing Triad passaram a focar cada vez mais em contas de corretoras, com o objetivo de roubar credenciais bancárias e códigos de autenticação.
Entre o segundo trimestre de 2023 e o mesmo período do ano anterior, houve aumento de cinco vezes nos ataques direcionados a essas contas.
"Após a invasão, os criminosos manipulam preços na bolsa com táticas de pump and dump — práticas que praticamente não deixam rastros, aumentando os riscos financeiros", explicou o pesquisador Alexis Ober.
O grupo evoluiu de fornecedor de kits de phishing para uma comunidade ativa que reúne diversos atores na cadeia do phishing-as-a-service (PhaaS).
Entre esses atores estão: desenvolvedores de kits, corretores de dados (que vendem números de telefone das vítimas), vendedores de domínios descartáveis, provedores de hospedagem, spammers responsáveis pela entrega das mensagens, validadores de números telefônicos e scanners que verificam listas negras para rodízio dos domínios.
A análise da Unit 42 mostra que quase 93.200 dos 136.933 domínios raiz (68,06%) foram registrados pela Dominet (HK) Limited, empresa de Hong Kong.
A maioria dos domínios utiliza o prefixo ".com", embora nos últimos três meses tenha havido um aumento considerável no registro de domínios com o prefixo ".gov".
Quanto à atividade dos domínios, 39.964 (29,19%) ficaram ativos por até dois dias; 71,3% permaneceram no ar por menos de uma semana; 82,6% estavam ativos por até duas semanas; e menos de 6% ultrapassaram três meses desde o registro.
Essa rápida rotatividade evidencia a estratégia do grupo de registrar constantemente novos domínios para evitar a detecção.
Os 194.345 domínios completos (FQDNs) mapeados estão vinculados a cerca de 43.494 endereços IP únicos, em sua maioria nos EUA e hospedados pela Cloudflare (AS13335).
Outros pontos importantes da análise incluem:
- O serviço mais frequentemente falsificado é o U.S.
Postal Service (USPS), representado por 28.045 FQDNs.
- Campanhas que usam iscas relacionadas a serviços de pedágio são a categoria mais presente, com cerca de 90 mil domínios voltados ao phishing.
- A infraestrutura de ataque responsável pelo maior volume de tráfego está concentrada nos EUA, seguida pela China e Cingapura.
- As campanhas imitam bancos, exchanges de criptomoedas, serviços postais e de entrega, forças policiais, empresas estatais, pedágios eletrônicos, aplicativos de carona, serviços de hospitalidade, redes sociais e plataformas de e-commerce na Rússia, Polônia e Lituânia.
Em campanhas que se passam por serviços governamentais, os usuários são redirecionados a páginas que alegam cobranças pendentes de pedágio ou outros serviços.
Em alguns casos, usam iscas como o ClickFix para induzir a vítima a executar códigos maliciosos sob o pretexto de solucionar um CAPTCHA.
"Essa campanha de smishing que imita serviços de pedágio nos EUA não é um caso isolado", alerta a Unit 42.
"Trata-se de uma operação em grande escala e alcance global, falsificando diversos serviços de setores variados.
A ameaça é altamente descentralizada, com os atacantes registrando e descartando milhares de domínios diariamente."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...