Kit di phishing Xiū gǒu
Gli esperti di sicurezza informatica hanno scoperto un nuovo kit di phishing, noto come Xiū gǒu, che è stato utilizzato attivamente almeno da settembre 2024 in campagne mirate ad Australia, Giappone, Spagna, Regno Unito e Stati Uniti
Ad oggi, sono stati identificati oltre 2.000 siti Web di phishing che utilizzano questo kit. È stato distribuito in vari settori, tra cui servizi pubblici, postali, digitali e bancari. Gli attori delle minacce dietro questo kit sfruttano spesso le funzionalità anti-bot di Cloudflare e le tecniche di offuscamento dell'hosting per eludere il rilevamento, rendendo gli attacchi più difficili da tracciare.
Sommario
Cosa sono i kit di phishing?
I kit di phishing come Xiū gǒu rappresentano un rischio perché riducono la barriera d'ingresso per gli hacker meno esperti, il che potrebbe favorire un aumento delle campagne dannose volte a rubare informazioni sensibili.
Creato da un threat actor di lingua cinese, Xiū gǒu include un pannello di amministrazione ed è costruito con tecnologie come Golang e Vue.js. Il kit è anche configurato per esfiltrare credenziali e altri dati da pagine di phishing ospitate sul dominio '.top' tramite Telegram.
Come vengono effettuati gli attacchi Xiū gǒu?
Gli attacchi di phishing vengono trasmessi tramite messaggi Rich Communications Services (RCS) anziché tramite SMS tradizionali, avvisando i destinatari di presunte multe per parcheggio e mancate consegne di pacchi. Questi messaggi motivano i destinatari a cliccare su un link abbreviato creato tramite un servizio di abbreviazione URL per pagare la multa o aggiornare il loro indirizzo di consegna.
Queste truffe spesso inducono le vittime a fornire informazioni personali e a effettuare pagamenti, come commissioni per la consegna di un pacco o per saldare una multa.
RCS, disponibile principalmente tramite Messaggi di Apple (a partire da iOS 18) e Messaggi di Google su Android, migliora l'esperienza di messaggistica offrendo funzionalità come la condivisione di file, indicatori di digitazione e crittografia end-to-end opzionale (E2EE).
Google implementa misure di sicurezza aggiuntive
Google ha annunciato nuove misure per migliorare la protezione contro le tattiche di phishing, tra cui l'implementazione di un rilevamento delle truffe migliorato che utilizza modelli di apprendimento automatico sui dispositivi per filtrare in modo specifico i messaggi fraudolenti relativi alle consegne di pacchi e alle offerte di lavoro.
L'azienda sta inoltre testando avvisi di sicurezza per gli utenti in India, Thailandia, Malesia e Singapore che ricevono messaggi di testo da mittenti sconosciuti contenenti link potenzialmente dannosi. Queste nuove misure di sicurezza, che dovrebbero essere implementate a livello globale entro la fine dell'anno, bloccheranno anche i messaggi con link provenienti da fonti sospette.
Inoltre, Google sta introducendo una funzionalità che consente agli utenti di 'nascondere automaticamente i messaggi da mittenti internazionali che non sono contatti esistenti' spostandoli nella cartella 'Spam e bloccati'. Questa funzionalità è stata inizialmente sperimentata a Singapore.
