Китайска хакерска група, известна като "Fangxiao", използва хиляди измамни домейни, за да се насочва към жертвите в широко разпространена фишинг кампания.
Хиляди са изложени на риск от фишинг кампания Fangxiao
Масова фишинг кампания, управлявана от китайската хакерска група "Fangxiao", излага на риск хиляди хора. Тази кампания е използвала 42 000 измамни домейна за улесняване на фишинг атаки. Тези измамни домейни са предназначени да пренасочват потребителите към приложения за рекламен софтуер (рекламен злонамерен софтуер), подаръци и сайтове за запознанства.
Cyjax, компания за решения за киберсигурност и заплахи, откри 42 000 фалшиви домейна, използвани в тази кампания. В Публикация в блога на Cyjax от Емили Денисън и Алана Витен, измамата беше описана като сложна, с възможност за „експлоатиране на репутацията на международни, доверени марки в множество вертикали, включително търговия на дребно, банкиране, пътувания, фармацевтични продукти, пътувания и енергия".
Измамата започва с a злонамерено съобщение в WhatsApp, при което се представя за надеждна марка. Примери за такива марки включват Emirates, Coca-Cola, McDonald's и Unilever. Това съобщение предоставя на получателя връзка към уеб страница, която създава усещане за привлекателност. Сайтът за пренасочване зависи от IP адреса на целта, както и от техния потребителски агент.
Например, McDonald's може да твърди, че прави безплатно раздаване. Когато жертвата завърши регистрацията си за раздаване, изтеглянето на Triada Троянски зловреден софтуер може да се задейства. Зловреден софтуер може да бъде инсталиран и при изтеглянето на конкретно приложение, което жертвите трябва да инсталират, за да продължат да участват в раздаването.
Нападателите, защитени от CloudFlare
Cyjax отбеляза в своята публикация в блога относно тази кампания, че инфраструктурата на Fangxiao е най-вече защитена от CloudFlare, американска мрежа за доставка на съдържание (CDN). Беше отбелязано също, че домейните измамници са създадени в GoDaddy, Namecheap и Wix, като имената им се сменят често.
По-голямата част от тези фишинг домейни са регистрирани с .top, а останалите са регистрирани предимно с .cn, .cyou, .xyz, .tech и .work.
Групата Fangxiao не е нищо ново
Хакерската група Fangxiao съществува от известно време. Домейните, използвани в тази кампания, бяха забелязани за първи път от Cyjax през 2019 г. и оттогава броят им се увеличава. През октомври 2022 г. над 300 уникални домейна бяха добавени от Fangxiao само за един ден.
Не е 100% потвърдено, че групата е базирана в Китай, но Cyjax е определил това местоположение с високо ниво на увереност. Един индикатор за това е използването на мандарин в един от откритите контролни панели на групата. Cyjax също спекулира, че целта на кампанията вероятно е парична печалба.
Фишинг кампаниите се увеличават
Фишингът е една от най-популярните тактики за киберпрестъпления днес и може да се появи в различни форми. Може да е трудно да забележите фишинг атаки, особено тези, които са много сложни. Филтрите за нежелана поща и антивирусните програми могат да се използват за смекчаване на фишинг атаките, но все пак е важно да се доверите на инстинкта си и да избягвате всякакви комуникации, които не изглеждат съвсем правилни.