Preventivo sconto multi-licenza
Database delle minacce Phishing Attore della minaccia della triade Smishing

Attore della minaccia della triade Smishing

Entro Mezo nel Phishing, Minaccia persistente avanzata (APT)
Traduci in:

Dal 1° gennaio 2024, una campagna di smishing su larga scala è stata collegata a oltre 194.000 domini dannosi, prendendo di mira un'ampia gamma di servizi in tutto il mondo. La campagna sfrutta messaggi SMS ingannevoli per indurre gli utenti a divulgare informazioni sensibili, spesso spacciandosi per violazioni del pagamento delle tariffe o pacchi consegnati erroneamente.

Nonostante i domini siano registrati tramite un registrar con sede a Hong Kong e utilizzino nameserver cinesi, l'infrastruttura di attacco opera principalmente tramite servizi cloud ospitati negli Stati Uniti, riflettendo una configurazione distribuita a livello globale.

La triade Smishing: attori della minaccia legati alla Cina

La campagna è attribuita a un gruppo legato alla Cina noto come Triade Smishing, noto per inondare i dispositivi mobili di notifiche fraudolente. Negli ultimi tre anni, queste campagne si sono dimostrate altamente redditizie, generando oltre 1 miliardo di dollari per gli autori della minaccia.

Recenti scoperte evidenziano una significativa evoluzione nelle loro tattiche. I kit di phishing prendono sempre più di mira i conti di intermediazione per rubare credenziali bancarie e codici di autenticazione. Gli attacchi a questi conti sono quintuplicati nel secondo trimestre del 2025 rispetto allo stesso periodo del 2024. Una volta compromessi, gli aggressori manipolano i prezzi delle azioni utilizzando schemi "ramp and dump", lasciando tracce cartacee minime.

Phishing-as-a-Service: un ecosistema criminale ben oliato

La Smishing Triad si è trasformata da semplice fornitore di kit di phishing in una comunità Phishing-as-a-Service (PhaaS) molto attiva, composta da molteplici attori specializzati:

  • Sviluppatori di kit di phishing: create gli strumenti.
  • Broker di dati: forniscono numeri di telefono target.
  • Venditori di domini: registra domini usa e getta per ospitare siti di phishing.
  • Fornitori di hosting: gestiscono i server.
  • Spammer: distribuiscono messaggi fraudolenti su larga scala.
  • Scanner di attività: verifica i numeri di telefono attivi.
  • Scanner di liste di blocco: controllano i domini rispetto alle liste di blocco per la rotazione.

Questo ecosistema consente una rapida implementazione e un adattamento costante, rendendo difficili il rilevamento e l'interruzione.

Registrazione del dominio e strategia di abbandono

L'analisi rivela che circa 93.200 dei 136.933 domini radice (68,06%) sono registrati sotto Dominet (HK) Limited. La maggior parte di questi utilizza il prefisso .com, sebbene negli ultimi mesi si sia registrato un aumento delle registrazioni di domini .gov.

La campagna si basa fortemente sul rapido turnover dei domini:

  • Il 29,19% dei domini è stato attivo per due giorni o meno
  • Il 71,3% è stato attivo per meno di una settimana
  • L'82,6% è stato attivo per due settimane o meno
  • Meno del 6% è sopravvissuto oltre i tre mesi

Questo ricambio, unito ai 194.345 FQDN che corrispondono a 43.494 IP univoci (per lo più negli Stati Uniti su Cloudflare), consente agli autori della minaccia di eludere continuamente il rilevamento.

Approfondimenti sulle infrastrutture e portata globale

I principali risultati dell'analisi infrastrutturale della campagna includono:

  • Il servizio postale statunitense è quello più imitato, con 28.045 FQDN.
  • Prevalgono le esche basate sui servizi a pagamento, con circa 90.000 FQDN di phishing.
  • I domini che generano il traffico più elevato sono ospitati principalmente negli Stati Uniti, seguiti da Cina e Singapore.

Le vittime sono prese di mira in diversi settori, tra cui banche, scambi di criptovalute, servizi di consegna, forze di polizia, imprese statali, servizi di pedaggio, app di carpooling, servizi di ospitalità, social media e piattaforme di e-commerce in paesi come Russia, Polonia e Lituania.

Le campagne di sostituzione di persona da parte del governo spesso reindirizzano gli utenti a landing page che segnalano pedaggi o spese di servizio non pagati, a volte sfruttando le esche di ClickFix per indurre gli utenti a eseguire codice dannoso camuffato da verifiche CAPTCHA.

Minaccia decentralizzata con impatto globale

La campagna Smishing Triad dimostra la sua portata globale e la sua decentralizzazione. Gli aggressori registrano e analizzano migliaia di domini ogni giorno, imitando servizi diversi per massimizzare l'impatto. Le campagne di smishing che prendono di mira i servizi di pagamento a pagamento statunitensi rappresentano solo un aspetto di un'organizzazione criminale vasta, altamente adattabile e redditizia, in continua evoluzione su larga scala.

Tendenza

I più visti

Caricamento in corso...