Une nouvelle campagne de smishing à grande échelle cible les États-Unis en envoyant des iMessages à partir de comptes Apple iCloud compromis dans le but de commettre des usurpations d’identité et des fraudes financières.
« Les acteurs de la menace chinois à l’origine de cette campagne exploitent une arnaque par SMS de suivi de colis envoyé via iMessage pour collecter des informations d’identification personnelle (PII) et des informations de paiement auprès des victimes, dans le cadre du vol d’identité et de la fraude par carte de crédit », a déclaré Resecurity. dit dans une analyse publiée la semaine dernière.
Le groupe de cybercriminalité, surnommé Triade Smishingserait également actif dans le domaine de la « fraude en tant que service », proposant à d’autres acteurs des kits de smishing prêts à l’emploi via Telegram qui coûtent 200 dollars par mois.
Ces kits se font passer pour des services postaux et de livraison populaires aux États-Unis, au Royaume-Uni, en Pologne, en Suède, en Italie, en Indonésie, en Malaisie, au Japon et dans d’autres pays.
Un aspect remarquable de cette activité est l’utilisation de comptes Apple iCloud violés comme vecteur de livraison pour envoyer des messages d’échec de livraison de colis, invitant les destinataires à cliquer sur un lien pour reprogrammer la livraison et à saisir les informations de leur carte de crédit sous un faux formulaire.
L’analyse du kit de smishing par Resecurity a révélé une vulnérabilité d’injection SQL qui, selon elle, leur a permis de récupérer plus de 108 044 enregistrements de données de victimes.
« Compte tenu de la vulnérabilité identifiée ou de la porte dérobée potentielle, il est possible que des membres clés de ‘Smishing Triad’ aient organisé un canal secret pour collecter des résultats avec des données personnelles et de paiement interceptées auprès d’autres membres et clients utilisant leur kit », a déclaré la société.
« De tels procédés sont largement utilisés par les cybercriminels dans les vols de mots de passe et les kits de phishing, leur permettant de tirer profit des activités de leurs clients, ou au moins de surveiller de manière transparente leur activité simplement en se connectant à un panneau d’administration. »
Le groupe Telegram associé à Smishing Triad comprend des graphistes, des développeurs Web et des commerciaux, qui supervisent le développement de kits de phishing de haute qualité ainsi que leur marketing sur les forums de cybercriminalité du Dark Web.
Détecter, Répondre, Protéger : ITDR et SSPM pour une sécurité SaaS complète
Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces à l’aide de SSPM. Découvrez comment sécuriser vos applications SaaS d’entreprise et protéger vos données, même après une violation.
Plusieurs membres du groupe parlant vietnamien ont été observés en train de collaborer avec les principaux acteurs de la menace dans ces efforts, ces derniers collaborant également avec des groupes similaires motivés financièrement pour étendre leurs opérations.
Malgré les escroqueries textuelles liées au suivi des colis, Smishing Triad est également connu pour se livrer à des attaques de type Magecart qui infectent les plateformes d’achat en ligne avec des injections de code malveillant pour intercepter les données des clients.
« Le smishing reste un vecteur d’attaque en évolution rapide ciblant les consommateurs du monde entier », a déclaré Resecurity.
« Les tactiques, techniques et procédures du groupe malveillant combinent deux méthodes bien établies : l’ingénierie sociale et le déploiement d’un kit de phishing via iMessage. Étant donné que les utilisateurs ont tendance à faire davantage confiance aux canaux de communication SMS et iMessage qu’au courrier électronique, cette attaque a réussi à compromettre de nombreuses victimes. »