Xiū gǒu Phishing Kit
Cybersäkerhetsexperter har upptäckt ett nytt nätfiskekit, känt som Xiū gǒu, som har använts aktivt sedan åtminstone september 2024 i kampanjer riktade mot Australien, Japan, Spanien, Storbritannien och USA
Hittills har över 2 000 nätfiskewebbplatser som använder detta kit identifierats. Det har distribuerats inom olika sektorer, inklusive offentliga tjänster, post-, digital- och banksektorer. Hotaktörer bakom detta kit utnyttjar ofta Cloudflares anti-bot-funktioner och hosting-obfuskeringstekniker för att undvika upptäckt, vilket gör attackerna svårare att spåra.
Innehållsförteckning
Vad är phishing-kit?
Nätfiskepaket som Xiū gǒu utgör en risk genom att sänka inträdesbarriären för mindre erfarna hackare, vilket kan leda till en ökning av skadliga kampanjer som syftar till att stjäla känslig information.
Skapat av en kinesisktalande hotaktör, Xiū gǒu inkluderar en adminpanel och är byggd med teknologier som Golang och Vue.js. Satsen är också konfigurerad för att exfiltrera autentiseringsuppgifter och annan data från nätfiskesidor som finns på ".top"-domänen via Telegram.
Hur utförs Xiū gǒu-attackerna?
Nätfiskeattackerna levereras via Rich Communications Services (RCS)-meddelanden istället för traditionella SMS, som varnar mottagare om påstådda parkeringsböter och misslyckade paketleveranser. Dessa meddelanden motiverar mottagarna att klicka på en förkortad länk som skapats med en URL-förkortningstjänst för att betala böterna eller uppdatera sin leveransadress.
Dessa bedrägerier lurar ofta offer att tillhandahålla personlig information och göra betalningar, till exempel avgifter för att släppa ett paket eller betala böter.
RCS, som huvudsakligen är tillgängligt via Apple Messages (från och med iOS 18) och Google Messages på Android, förbättrar meddelandeupplevelsen genom att erbjuda funktioner som fildelning, skrivindikatorer och valfri End-to-End Encryption (E2EE).
Google implementerar ytterligare säkerhetsåtgärder
Google har aviserat nya åtgärder för att förbättra skyddet mot nätfisketaktik, inklusive implementering av förbättrad bedrägeriupptäckt som använder maskininlärningsmodeller på enheten för att specifikt filtrera bort bedrägliga meddelanden relaterade till paketleveranser och jobberbjudanden.
Företaget testar också säkerhetsvarningar för användare i Indien, Thailand, Malaysia och Singapore som tar emot textmeddelanden från okända avsändare som innehåller potentiellt skadliga länkar. Dessa nya skyddsåtgärder, som kommer att rullas ut globalt senare i år, kommer också att blockera meddelanden med länkar från misstänkta källor.
Dessutom introducerar Google en funktion som tillåter användare att "automatiskt dölja meddelanden från internationella avsändare som inte är befintliga kontakter" genom att flytta dem till mappen "Spam & blocked". Denna funktion testades ursprungligen i Singapore.
