Xiū gǒu-phishingkit
Cybersecurity-experts hebben een nieuwe phishingkit ontdekt, bekend als de Xiū gǒu, die sinds ten minste september 2024 actief wordt gebruikt in campagnes gericht op Australië, Japan, Spanje, het Verenigd Koninkrijk en de VS.
Tot nu toe zijn er meer dan 2000 phishingwebsites geïdentificeerd die deze kit gebruiken. Het is ingezet in verschillende sectoren, waaronder openbare diensten, post, digitale en bancaire sectoren. Dreigingsactoren achter deze kit maken vaak gebruik van de anti-botfuncties en hostingverduisteringstechnieken van Cloudflare om detectie te ontwijken, waardoor de aanvallen moeilijker te traceren zijn.
Inhoudsopgave
Wat zijn phishingkits?
Phishingkits zoals Xiū gǒu vormen een risico omdat ze de drempel voor minder ervaren hackers verlagen. Dit kan leiden tot een toename van kwaadaardige campagnes die gericht zijn op het stelen van gevoelige informatie.
Gemaakt door een Chinees sprekende bedreigingsactor, bevat de Xiū gǒu een admin panel en is gebouwd met technologieën zoals Golang en Vue.js. De kit is ook geconfigureerd om credentials en andere data van phishingpagina's die gehost worden op het '.top' domein te exfiltreren via Telegram.
Hoe worden de Xiū gǒu-aanvallen uitgevoerd?
De phishingaanvallen worden geleverd via Rich Communications Services (RCS)-berichten in plaats van traditionele sms-berichten, waarmee ontvangers worden gewaarschuwd voor vermeende parkeerboetes en mislukte pakketbezorgingen. Deze berichten motiveren ontvangers om op een verkorte link te klikken die is gemaakt met behulp van een URL-verkortingsservice om de boete te betalen of hun bezorgadres bij te werken.
Bij dit soort oplichtingspraktijken worden slachtoffers vaak misleid om persoonlijke gegevens te verstrekken en betalingen te doen, zoals kosten voor het vrijgeven van een pakket of het betalen van een boete.
RCS, dat voornamelijk beschikbaar is via Apple Berichten (vanaf iOS 18) en Google Berichten op Android, verbetert de berichtenervaring met functies als het delen van bestanden, type-indicatoren en optionele End-to-End Encryption (E2EE).
Google implementeert aanvullende beveiligingsmaatregelen
Google heeft nieuwe maatregelen aangekondigd om de bescherming tegen phishingtactieken te verbeteren. Een van deze maatregelen is de inzet van verbeterde detectie van oplichting. Hierbij wordt gebruikgemaakt van machine learning-modellen op het apparaat zelf, om frauduleuze berichten over pakketbezorgingen en vacatures specifiek te filteren.
Het bedrijf test ook beveiligingswaarschuwingen voor gebruikers in India, Thailand, Maleisië en Singapore die sms-berichten ontvangen van onbekende afzenders met mogelijk schadelijke links. Deze nieuwe beveiligingen, die later dit jaar wereldwijd worden uitgerold, blokkeren ook berichten met links van verdachte bronnen.
Daarnaast introduceert Google een functie waarmee gebruikers 'berichten van internationale afzenders die geen bestaande contacten zijn automatisch kunnen verbergen' door ze te verplaatsen naar de map 'Spam & geblokkeerd'. Deze functie werd aanvankelijk getest in Singapore.
