Los actores de amenazas de habla china detrás Tríada aplastante Se ha observado que se hacen pasar por la Autoridad Federal de Identidad y Ciudadanía de los Emiratos Árabes Unidos para enviar mensajes SMS maliciosos con el objetivo final de recopilar información confidencial de residentes y extranjeros en el país.
«Estos delincuentes envían enlaces maliciosos a los dispositivos móviles de sus víctimas a través de SMS o iMessage y utilizan servicios de acortamiento de URL como Bit.ly para aleatorizar los enlaces que envían», Resecurity dicho en un informe publicado esta semana. «Esto les ayuda a proteger el dominio y la ubicación de alojamiento del sitio web falso».
Smishing Triad fue documentado por primera vez por la empresa de ciberseguridad en septiembre de 2023, destacando el uso por parte del grupo de cuentas de Apple iCloud comprometidas para enviar mensajes de smishing para llevar a cabo robo de identidad y fraude financiero.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
También se sabe que el actor de amenazas ofrece kits de smishing listos para usar a la venta a otros ciberdelincuentes por 200 dólares al mes, además de participar en ataques estilo Magecart en plataformas de comercio electrónico para inyectar código malicioso y robar datos de clientes.
«Este modelo de fraude como servicio (FaaS) permite a ‘Smishing Triad’ escalar sus operaciones al permitir que otros ciberdelincuentes aprovechen sus herramientas y lancen ataques independientes», Resecurity anotado.
La última ola de ataques está diseñada para atacar a personas que recientemente actualizaron sus visas de residencia con mensajes dañinos. La campaña de smishing se aplica tanto a dispositivos Android como iOS, y es probable que los operadores utilicen servicios de suplantación de SMS o spam para perpetrar el plan.
Los destinatarios que hacen clic en el enlace incrustado del mensaje son redirigidos a un sitio web falso («rpjpapc[.]arriba») haciéndose pasar por la Autoridad Federal de Identidad, Ciudadanía, Aduanas y Seguridad Portuaria (ICP) de los EAU, lo que les solicita que ingresen su información personal, como nombres, números de pasaporte, números de teléfono móvil, direcciones e información de tarjetas.
Lo que hace que la campaña sea notable es el uso de un mecanismo de geocerca para cargar el formulario de phishing solo cuando se visita desde direcciones IP y dispositivos móviles con sede en los Emiratos Árabes Unidos.
«Los autores de este acto pueden tener acceso a un canal privado donde obtuvieron información sobre los residentes de los EAU y los extranjeros que viven en el país o lo visitan», dijo Resecurity.
«Esto podría lograrse mediante filtraciones de datos de terceros, ataques de correo electrónico empresarial, bases de datos compradas en la web oscura u otras fuentes».
La última campaña de Smishing Triad coincide con el lanzamiento de un nuevo mercado clandestino conocido como OLVX Marketplace («olvx[.]cc») que opera en la web transparente y afirma vender herramientas para llevar a cabo fraudes en línea, como kits de phishing, web shells y credenciales comprometidas.
«Si bien el mercado OLVX ofrece miles de productos individuales en numerosas categorías, los administradores de su sitio mantienen relaciones con varios ciberdelincuentes que crean kits de herramientas personalizados y pueden obtener archivos especializados, lo que aumenta la capacidad de OLVX para mantener y atraer clientes a la plataforma», ZeroFox dicho.
Los ciberdelincuentes hacen mal uso de la herramienta de detección de bots Predator para ataques de phishing
La revelación se produce cuando Trellix reveló cómo los actores de amenazas están aprovechando Depredadoruna herramienta de código abierto diseñada para combatir el fraude e identificar solicitudes provenientes de sistemas automatizados, bots o rastreadores web, como parte de diversas campañas de phishing.
El punto de partida del ataque es un correo electrónico de phishing enviado desde una cuenta previamente comprometida y que contiene un enlace malicioso que, al hacer clic en él, comprueba si la solicitud entrante proviene de un bot o un rastreador, antes de redirigir a la página de phishing.
La firma de ciberseguridad dijo que identificó varios artefactos donde los actores de amenazas reutilizaron la herramienta original al proporcionar una lista de enlaces codificados en lugar de generar enlaces aleatorios dinámicamente al detectar que un visitante es un bot.
«Los ciberdelincuentes siempre buscan nuevas formas de evadir la detección de los productos de seguridad de las organizaciones», afirman los investigadores de seguridad Vihar Shah y Rohan Shah. dicho. «Las herramientas de código abierto como estas facilitan su tarea, ya que pueden utilizarlas fácilmente para evitar la detección y lograr más fácilmente sus objetivos maliciosos».