Zestaw do phishingu Xiū gǒu
Eksperci ds. cyberbezpieczeństwa odkryli nowy zestaw narzędzi do phishingu, znany jako Xiū gǒu, który jest aktywnie używany co najmniej od września 2024 r. w kampaniach skierowanych na Australię, Japonię, Hiszpanię, Wielką Brytanię i Stany Zjednoczone
Do tej pory zidentyfikowano ponad 2000 witryn phishingowych wykorzystujących ten zestaw. Został on wdrożony w różnych sektorach, w tym w usługach publicznych, pocztowych, cyfrowych i bankowych. Aktorzy zagrożeń stojący za tym zestawem często wykorzystują funkcje antybotowe Cloudflare i techniki zaciemniania hostingu, aby uniknąć wykrycia, co utrudnia śledzenie ataków.
Spis treści
Czym są zestawy narzędzi phishingowych?
Zestawy narzędzi phishingowych, takie jak Xiū gǒu, stanowią zagrożenie, ponieważ obniżają barierę wejścia dla mniej doświadczonych hakerów, co może spowodować wzrost liczby złośliwych kampanii mających na celu kradzież poufnych informacji.
Stworzony przez chińskojęzycznego aktora zagrożeń, Xiū gǒu zawiera panel administracyjny i jest zbudowany z technologii takich jak Golang i Vue.js. Zestaw jest również skonfigurowany do eksfiltracji poświadczeń i innych danych ze stron phishingowych hostowanych w domenie „.top” za pośrednictwem Telegrama.
Jak przeprowadzane są ataki Xiū gǒu?
Ataki phishingowe są dostarczane za pośrednictwem wiadomości Rich Communications Services (RCS) zamiast tradycyjnych wiadomości SMS, ostrzegając odbiorców o domniemanych mandatach parkingowych i nieudanych dostawach paczek. Wiadomości te motywują odbiorców do kliknięcia skróconego łącza utworzonego za pomocą usługi skracania adresów URL w celu zapłaty mandatu lub zaktualizowania adresu dostawy.
Tego typu oszustwa często nakłaniają ofiary do podania danych osobowych i uiszczenia opłat, np. opłat za wydanie przesyłki lub uiszczenia grzywny.
RCS, dostępny głównie za pośrednictwem aplikacji Apple Messages (od systemu iOS 18) oraz Google Messages na Androida, usprawnia obsługę wiadomości, oferując takie funkcje, jak udostępnianie plików, wskaźniki pisania i opcjonalne szyfrowanie typu End-to-End (E2EE).
Google wdraża dodatkowe środki bezpieczeństwa
Firma Google ogłosiła nowe środki mające na celu zwiększenie ochrony przed atakami phishingowymi. Obejmują one m.in. wdrożenie ulepszonego mechanizmu wykrywania oszustw, który wykorzystuje modele uczenia maszynowego na urządzeniu w celu filtrowania fałszywych wiadomości związanych z dostawami paczek i ofertami pracy.
Firma testuje również ostrzeżenia bezpieczeństwa dla użytkowników w Indiach, Tajlandii, Malezji i Singapurze, którzy otrzymują wiadomości tekstowe od nieznanych nadawców zawierające potencjalnie szkodliwe linki. Te nowe zabezpieczenia, które mają zostać wdrożone globalnie pod koniec tego roku, będą również blokować wiadomości z linkami z podejrzanych źródeł.
Ponadto Google wprowadza funkcję, która pozwala użytkownikom „automatycznie ukrywać wiadomości od nadawców międzynarodowych, którzy nie są istniejącymi kontaktami”, przenosząc je do folderu „Spam i zablokowane”. Ta funkcja była początkowo testowana w Singapurze.
