Les acteurs de la menace chinois derrière Triade Smishing ont été observés se faisant passer pour l’Autorité fédérale des Émirats arabes unis pour l’identité et la citoyenneté pour envoyer des messages SMS malveillants dans le but ultime de recueillir des informations sensibles auprès des résidents et des étrangers dans le pays.
« Ces criminels envoient des liens malveillants aux appareils mobiles de leurs victimes par SMS ou iMessage et utilisent des services de raccourcissement d’URL comme Bit.ly pour randomiser les liens qu’ils envoient », Resecurity dit dans un rapport publié cette semaine. « Cela les aide à protéger le domaine et l’emplacement d’hébergement du faux site Web. »
Smishing Triad a été documenté pour la première fois par la société de cybersécurité en septembre 2023, soulignant l’utilisation par le groupe de comptes Apple iCloud compromis pour envoyer des messages de smishing afin de commettre un vol d’identité et une fraude financière.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
L’acteur malveillant est également connu pour proposer des kits de smishing prêts à l’emploi à la vente à d’autres cybercriminels pour 200 dollars par mois, tout en se livrant à des attaques de type Magecart sur les plateformes de commerce électronique pour injecter du code malveillant et voler les données des clients.
« Ce modèle de fraude en tant que service (FaaS) permet à « Smishing Triad » d’étendre ses opérations en permettant à d’autres cybercriminels d’exploiter leurs outils et de lancer des attaques indépendantes », Resecurity noté.
La dernière vague d’attaques vise à cibler les personnes qui ont récemment mis à jour leur visa de résidence avec des messages nuisibles. La campagne de smishing s’applique à la fois aux appareils Android et iOS, les opérateurs utilisant probablement des services d’usurpation de SMS ou de spam pour perpétrer cette opération.
Les destinataires qui cliquent sur le lien intégré au message sont redirigés vers un faux site Web similaire (« rpjpapc[.]top ») se faisant passer pour l’Autorité fédérale des Émirats arabes unis pour l’identité, la citoyenneté, les douanes et la sécurité portuaire (ICP), qui les invite à saisir leurs informations personnelles telles que leurs noms, numéros de passeport, numéros de téléphone portable, adresses et informations de carte.
Ce qui rend la campagne remarquable, c’est l’utilisation d’un mécanisme de géorepérage pour charger le formulaire de phishing uniquement lorsqu’il est visité à partir d’adresses IP et d’appareils mobiles basés aux Émirats arabes unis.
« Les auteurs de cet acte pourraient avoir accès à une chaîne privée grâce à laquelle ils ont obtenu des informations sur les résidents des Émirats arabes unis et les étrangers vivant ou visitant le pays », a déclaré Resecurity.
« Cela pourrait être réalisé grâce à des violations de données de tiers, à des compromissions de messagerie professionnelle, à des bases de données achetées sur le dark web ou à d’autres sources. »
La dernière campagne de Smishing Triad coïncide avec le lancement d’un nouveau marché souterrain connu sous le nom d’OLVX Marketplace (« olvx[.]cc ») qui opère sur le Web clair et prétend vendre des outils permettant de commettre des fraudes en ligne, tels que des kits de phishing, des shells Web et des informations d’identification compromises.
« Alors que le marché OLVX propose des milliers de produits individuels dans de nombreuses catégories, ses administrateurs de site entretiennent des relations avec divers cybercriminels qui créent des boîtes à outils personnalisées et peuvent obtenir des fichiers spécialisés, renforçant ainsi la capacité d’OLVX à maintenir et à attirer des clients vers la plateforme », ZeroFox dit.
Les cybercriminels utilisent à mauvais escient l’outil de détection des robots prédateurs pour des attaques de phishing
Cette divulgation intervient alors que Trellix révèle comment les acteurs de la menace exploitent Prédateurun outil ouvert conçu pour lutter contre la fraude et identifier les demandes provenant de systèmes automatisés, de robots ou de robots d’exploration Web, dans le cadre de diverses campagnes de phishing.
Le point de départ de l’attaque est un e-mail de phishing envoyé depuis un compte précédemment compromis et contenant un lien malveillant qui, une fois cliqué, vérifie si la demande entrante provient d’un robot ou d’un robot, avant de rediriger vers la page de phishing.
La société de cybersécurité a déclaré avoir identifié divers artefacts dans lesquels les acteurs malveillants ont réutilisé l’outil d’origine en fournissant une liste de liens codés en dur au lieu de générer des liens aléatoires de manière dynamique lors de la détection qu’un visiteur est un robot.
« Les cybercriminels sont toujours à la recherche de nouveaux moyens d’échapper à la détection des produits de sécurité des organisations », affirment les chercheurs en sécurité Vihar Shah et Rohan Shah. dit. « Des outils open source tels que ceux-ci facilitent leur tâche, car ils peuvent facilement utiliser ces outils pour éviter d’être détectés et atteindre plus facilement leurs objectifs malveillants. »