Chińska grupa hakerska znana jako „Fangxiao” wykorzystuje tysiące fałszywych domen do atakowania ofiar w szeroko zakrojonej kampanii phishingowej.
Tysiące zagrożonych kampanią phishingową Fangxiao
Ogromna kampania phishingowa prowadzona przez chińską grupę hakerską „Fangxiao” naraża tysiące ludzi na niebezpieczeństwo. W tej kampanii wykorzystano 42 000 fałszywych domen w celu ułatwienia ataków typu phishing. Te domeny oszustów mają na celu przekierowywanie użytkowników do aplikacji adware (reklamujących złośliwe oprogramowanie), witryn z prezentami i witryn randkowych.
Cyjax, firma zajmująca się rozwiązaniami z zakresu cyberbezpieczeństwa i zagrożeń, odkryła 42 000 fałszywych domen wykorzystywanych w tej kampanii. W Wpis na blogu Cyjax przez Emily Dennison i Alanę Witten oszustwo zostało opisane jako wyrafinowane, z możliwością „wykorzystania reputacji międzynarodowych, zaufanych marek w wielu branżach, w tym handlu detalicznego, bankowości, podróży, farmaceutyków, podróży i energia".
Oszustwo zaczyna się od A złośliwa wiadomość WhatsApp, w których podszywa się pod zaufaną markę. Przykładami takich marek są Emirates, Coca-Cola, McDonald's i Unilever. Ta wiadomość dostarcza odbiorcy link do strony internetowej, która ma wrażenie uroku. Witryna przekierowania jest zależna od adresu IP celu, a także jego agenta użytkownika.
Na przykład McDonald's może twierdzić, że organizuje darmowe prezenty. Gdy ofiara zakończy rejestrację do rozdania, pobierze Triadę Złośliwe oprogramowanie trojańskie może zostać wywołany. Złośliwe oprogramowanie może być również instalowane podczas pobierania określonej aplikacji, którą ofiary proszone są o zainstalowanie, aby nadal brać udział w rozdaniu.
Atakujący chronieni przez CloudFlare
Cyjax zauważył w swoim poście na blogu dotyczącym tej kampanii, że infrastruktura Fangxiao jest w większości chroniona przez CloudFlare, amerykańską sieć dostarczania treści (CDN). Zauważono również, że domeny oszustów zostały utworzone w GoDaddy, Namecheap i Wix, a ich nazwy były często zmieniane.
Większość z tych domen phishingowych została zarejestrowana z domenami .top, a pozostałe z domenami .cn, .cyou, .xyz, .tech i .work.
Grupa Fangxiao nie jest niczym nowym
Grupa hakerska Fangxiao istnieje już od jakiegoś czasu. Domeny używane w tej kampanii zostały po raz pierwszy zauważone przez Cyjax w 2019 roku i od tego czasu ich liczba rośnie. W październiku 2022 r. Fangxiao dodało ponad 300 unikalnych domen w ciągu zaledwie jednego dnia.
Nie ma 100% potwierdzenia, że grupa ma siedzibę w Chinach, ale Cyjax określił tę lokalizację z dużym stopniem pewności. Jednym ze wskaźników tego jest użycie języka mandaryńskiego w jednym z odsłoniętych paneli kontrolnych grupy. Cyjax spekulował również, że celem kampanii prawdopodobnie będzie zysk pieniężny.
Rośnie liczba kampanii phishingowych
Phishing jest obecnie jedną z najpopularniejszych taktyk cyberprzestępczości i może przybierać różne formy. Wykrycie ataków typu phishing może być trudne, zwłaszcza tych bardzo wyrafinowanych. Filtry antyspamowe i programy antywirusowe mogą być używane do łagodzenia ataków typu phishing, chociaż nadal ważne jest, aby ufać swojemu przeczuciu i unikać wszelkiej komunikacji, która wydaje się niewłaściwa.