Una nueva campaña de smishing a gran escala se dirige a los EE. UU. mediante el envío de iMessages desde cuentas de Apple iCloud comprometidas con el objetivo de realizar robo de identidad y fraude financiero.
«Los actores de amenazas de habla china detrás de esta campaña están operando una estafa de texto de seguimiento de paquetes enviados a través de iMessage para recopilar información de identificación personal (PII) y credenciales de pago de las víctimas, con el fin de promover el robo de identidad y el fraude con tarjetas de crédito», Resecurity dicho en un análisis publicado la semana pasada.
El grupo de cibercrimen, apodado Tríada aplastantetambién se dice que está en el negocio del «fraude como servicio», ofreciendo a otros actores kits de smishing listos para usar a través de Telegram que cuestan 200 dólares al mes.
Estos kits se hacen pasar por servicios postales y de entrega populares en EE. UU., Reino Unido, Polonia, Suecia, Italia, Indonesia, Malasia, Japón y otros países.
Un aspecto destacado de la actividad es el uso de cuentas de Apple iCloud violadas como vector de entrega para enviar mensajes de error en la entrega de paquetes, instando a los destinatarios a hacer clic en un enlace para reprogramar la entrega e ingresar la información de su tarjeta de crédito de forma falsa.
El análisis de Resecurity del kit de smishing reveló una vulnerabilidad de inyección SQL que, según dijo, les permitió recuperar más de 108,044 registros de datos de las víctimas.
«Teniendo en cuenta la vulnerabilidad identificada o la posible puerta trasera, es posible que miembros clave de ‘Smishing Triad’ hayan organizado un canal encubierto para recopilar resultados con datos personales y de pago interceptados de otros miembros y clientes que aprovechan su kit», dijo la compañía.
«Esta técnica es ampliamente utilizada por los ciberdelincuentes en ladrones de contraseñas y kits de phishing, lo que les permite sacar provecho de las actividades de sus clientes, o al menos monitorear sin problemas su actividad simplemente iniciando sesión en un panel de administración».
El grupo de Telegram asociado con Smishing Triad incluye diseñadores gráficos, desarrolladores web y personal de ventas, que supervisan el desarrollo de kits de phishing de alta calidad, así como su marketing en los foros de cibercrimen de la web oscura.
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
Se ha observado que varios miembros del grupo de habla vietnamita colaboran con los principales actores de amenazas en estos esfuerzos, y estos últimos también colaboran con grupos similares con motivación financiera para escalar sus operaciones.
A pesar de las estafas de texto de seguimiento de paquetes, también se sabe que Smishing Triad realiza ataques similares a Magecart que infectan plataformas de compras en línea con inyecciones de código malicioso para interceptar datos de clientes.
«El smishing sigue siendo un vector de ataque en rápida evolución dirigido a consumidores de todo el mundo», afirmó Resecurity.
«Las tácticas, técnicas y procedimientos del grupo de amenazas combinan dos métodos bien establecidos: la ingeniería social y el despliegue de un kit de phishing a través de iMessage. Dado que los usuarios tienden a confiar más en los canales de comunicación SMS e iMessage que en el correo electrónico, este ataque ha comprometido con éxito numerosas víctimas.»