کیت فیشینگ Xiū gǒu

کارشناسان امنیت سایبری کیت فیشینگ جدیدی به نام Xiū gǒu را کشف کرده اند که حداقل از سپتامبر 2024 به طور فعال در کمپین هایی با هدف قرار دادن استرالیا، ژاپن، اسپانیا، بریتانیا و ایالات متحده مورد استفاده قرار گرفته است.

تا به امروز، بیش از 2000 وب سایت فیشینگ با استفاده از این کیت شناسایی شده اند. در بخش های مختلف از جمله خدمات عمومی، پستی، دیجیتال و صنایع بانکی مستقر شده است. عوامل تهدید در پشت این کیت اغلب از ویژگی‌های ضد ربات Cloudflare و میزبانی تکنیک‌های مبهم‌سازی برای فرار از شناسایی استفاده می‌کنند و ردیابی حملات را سخت‌تر می‌کنند.

کیت های فیشینگ چیست؟

کیت‌های فیشینگ مانند Xiū gǒu با کاهش مانع ورود هکرهای با تجربه کمتر، خطری را ایجاد می‌کنند که می‌تواند باعث افزایش کمپین‌های مخرب با هدف سرقت اطلاعات حساس شود.

Xiū gǒu که توسط یک عامل تهدید چینی زبان ایجاد شده است، شامل یک پنل مدیریت است و با فناوری هایی مانند Golang و Vue.js ساخته شده است. این کیت همچنین به گونه‌ای پیکربندی شده است که از طریق تلگرام، اعتبار و سایر داده‌ها را از صفحات فیشینگ میزبانی شده در دامنه «.top» استخراج کند.

حملات Xiū gǒu چگونه انجام می شود؟

حملات فیشینگ از طریق پیام‌های سرویس‌های ارتباطات غنی (RCS) به جای پیامک‌های سنتی انجام می‌شود و به گیرندگان در مورد جریمه‌های پارکینگ ادعایی و تحویل ناموفق بسته هشدار می‌دهد. این پیام‌ها به گیرندگان انگیزه می‌دهند تا برای پرداخت جریمه یا به‌روزرسانی آدرس تحویل خود، روی پیوند کوتاه‌شده‌ای که با استفاده از سرویس کوتاه‌کننده URL ایجاد شده است، کلیک کنند.

این کلاهبرداری‌ها اغلب قربانیان را فریب می‌دهند تا اطلاعات شخصی خود را ارائه کنند و پرداخت‌هایی مانند هزینه‌هایی برای آزاد کردن بسته یا تسویه جریمه انجام دهند.

RCS که عمدتاً از طریق پیام‌های اپل (با iOS 18 شروع می‌شود) و پیام‌های Google در اندروید در دسترس است، با ارائه ویژگی‌هایی مانند اشتراک‌گذاری فایل، نشانگرهای تایپ و رمزگذاری اختیاری End-to-End (E2EE) تجربه پیام‌رسانی را بهبود می‌بخشد.

Google در حال اجرای اقدامات امنیتی اضافی

Google اقدامات جدیدی را برای تقویت محافظت در برابر تاکتیک‌های فیشینگ اعلام کرده است، از جمله به کارگیری بهبود یافته تشخیص کلاهبرداری که از مدل‌های یادگیری ماشینی روی دستگاه برای فیلتر کردن پیام‌های جعلی مرتبط با تحویل بسته‌ها و پیشنهادهای شغلی استفاده می‌کند.

این شرکت همچنین در حال آزمایش هشدارهای امنیتی برای کاربرانی در هند، تایلند، مالزی و سنگاپور است که پیام‌های متنی از فرستندگان ناشناس حاوی لینک‌های بالقوه مضر دریافت می‌کنند. این پادمان‌های جدید، که قرار است اواخر امسال در سطح جهانی ارائه شوند، پیام‌هایی را که دارای لینک‌هایی از منابع مشکوک هستند نیز مسدود می‌کنند.

علاوه بر این، گوگل در حال معرفی ویژگی‌ای است که به کاربران امکان می‌دهد با انتقال پیام‌ها به پوشه هرزنامه و مسدود شده، پیام‌ها را از فرستندگان بین‌المللی که مخاطب فعلی نیستند، به صورت خودکار پنهان کنند. این ویژگی ابتدا در سنگاپور به صورت آزمایشی اجرا شد.