🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os atores da ameaça por trás de uma campanha de smishing contínua e em grande escala foram atribuídos a mais de 194.000 domínios maliciosos desde 1º de janeiro de 2024, visando uma ampla gama de serviços em todo o mundo, de acordo com novas descobertas da Unidade 42 da Palo Alto Networks.
“Embora esses domínios sejam registrados por meio de um registrador baseado em Hong Kong e usem servidores de nomes chineses, a infraestrutura de ataque é hospedada principalmente em serviços de nuvem populares dos EUA”, disseram os pesquisadores de segurança Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi e Moe Ghasemisharif.
A atividade foi atribuída a um grupo ligado à China conhecido como Smishing Triad, que é conhecido por inundar dispositivos móveis com violações fraudulentas de tarifas e avisos de entrega incorreta de pacotes para induzir os usuários a tomarem medidas imediatas e fornecerem informações confidenciais.
Estas campanhas provaram ser lucrativas, permitindo aos atores da ameaça ganhar mais de mil milhões de dólares nos últimos três anos, de acordo com um relatório recente do The Wall Street Journal.
Num relatório publicado no início desta semana, Fortra disse que os kits de phishing associados à Smishing Triad estão a ser usados cada vez mais para atingir contas de corretagem para obter credenciais bancárias e códigos de autenticação, com ataques direcionados a estas contas testemunhando um salto de cinco vezes no segundo trimestre de 2025 em comparação com o mesmo período do ano passado.
“Uma vez comprometidos, os invasores manipulam os preços do mercado de ações usando táticas de ‘ramp and dump’”, disse o pesquisador de segurança Alexis Ober. “Esses métodos quase não deixam rastros de papel, aumentando ainda mais os riscos financeiros que surgem desta ameaça.”
Diz-se que o coletivo adversário evoluiu de um fornecedor dedicado de kits de phishing para uma “comunidade altamente ativa” que reúne diferentes atores de ameaças, cada um dos quais desempenha um papel crucial no ecossistema de phishing como serviço (PhaaS).
Isso inclui desenvolvedores de kits de phishing, corretores de dados (que vendem números de telefone de destino), vendedores de domínios (que registram domínios descartáveis para hospedar sites de phishing), provedores de hospedagem (que fornecem servidores), spammers (que entregam as mensagens às vítimas em grande escala), scanners de atividade (que validam números de telefone) e scanners de lista de bloqueio (que verificam os domínios de phishing em relação a listas de bloqueio conhecidas para rotação).
O ecossistema PhaaS da Smishing Triad
A análise da Unidade 42 revelou que quase 93.200 dos 136.933 domínios raiz (68,06%) estão registrados na Dominet (HK) Limited, um registrador com sede em Hong Kong. Os domínios com o prefixo “com” representam uma maioria significativa, embora tenha havido um aumento no registo de domínios “gov” nos últimos três meses.
Dos domínios identificados, 39.964 (29,19%) estavam ativos por dois dias ou menos, 71,3% deles estavam ativos por menos de uma semana, 82,6% deles estavam ativos por duas semanas ou menos e menos de 6% tinham uma vida útil além dos primeiros três meses de seu registro.
“Essa rápida rotatividade demonstra claramente que a estratégia da campanha depende de um ciclo contínuo de domínios recém-registrados para evitar a detecção”, observou a empresa de segurança cibernética, acrescentando os 194.345 nomes de domínio totalmente qualificados (FQDNs) usados na resolução a até 43.494 endereços IP exclusivos, a maioria dos quais estão nos EUA e hospedados na Cloudflare (AS13335).
Alguns dos outros aspectos importantes da análise de infraestrutura estão abaixo -
O Serviço Postal dos EUA (USPS) é o serviço mais representado, com 28.045 FQDNs.
As campanhas que usam iscas de serviços de pedágio são a categoria mais representada, com cerca de 90.000 FQDNs de phishing dedicados.
A infraestrutura de ataque para domínios que geram o maior volume de tráfego está localizada nos EUA, seguida pela China e Singapura.
As campanhas imitaram bancos, bolsas de criptomoedas, serviços de correio e entrega, forças policiais, empresas estatais, portagens eletrónicas, aplicações de partilha de boleias, serviços de hospitalidade, redes sociais e plataformas de comércio eletrónico na Rússia, Polónia e Lituânia.
Em campanhas de phishing que se fazem passar por serviços governamentais, os usuários são frequentemente redirecionados para páginas de destino que reivindicam pedágios não pagos e outras taxas de serviço, em alguns casos até aproveitando as iscas do ClickFix para induzi-los a executar código malicioso sob o pretexto de concluir uma verificação CAPTCHA.
“A campanha smishing que se faz passar pelos serviços de portagem dos EUA não é isolada”, disse a Unidade 42. "Em vez disso, é uma campanha em grande escala com alcance global, representando muitos serviços em diferentes setores. A ameaça é altamente descentralizada. Os atacantes registam-se e vasculham milhares de domínios diariamente."
“Embora esses domínios sejam registrados por meio de um registrador baseado em Hong Kong e usem servidores de nomes chineses, a infraestrutura de ataque é hospedada principalmente em serviços de nuvem populares dos EUA”, disseram os pesquisadores de segurança Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi e Moe Ghasemisharif.
A atividade foi atribuída a um grupo ligado à China conhecido como Smishing Triad, que é conhecido por inundar dispositivos móveis com violações fraudulentas de tarifas e avisos de entrega incorreta de pacotes para induzir os usuários a tomarem medidas imediatas e fornecerem informações confidenciais.
Estas campanhas provaram ser lucrativas, permitindo aos atores da ameaça ganhar mais de mil milhões de dólares nos últimos três anos, de acordo com um relatório recente do The Wall Street Journal.
Num relatório publicado no início desta semana, Fortra disse que os kits de phishing associados à Smishing Triad estão a ser usados cada vez mais para atingir contas de corretagem para obter credenciais bancárias e códigos de autenticação, com ataques direcionados a estas contas testemunhando um salto de cinco vezes no segundo trimestre de 2025 em comparação com o mesmo período do ano passado.
“Uma vez comprometidos, os invasores manipulam os preços do mercado de ações usando táticas de ‘ramp and dump’”, disse o pesquisador de segurança Alexis Ober. “Esses métodos quase não deixam rastros de papel, aumentando ainda mais os riscos financeiros que surgem desta ameaça.”
Diz-se que o coletivo adversário evoluiu de um fornecedor dedicado de kits de phishing para uma “comunidade altamente ativa” que reúne diferentes atores de ameaças, cada um dos quais desempenha um papel crucial no ecossistema de phishing como serviço (PhaaS).
Isso inclui desenvolvedores de kits de phishing, corretores de dados (que vendem números de telefone de destino), vendedores de domínios (que registram domínios descartáveis para hospedar sites de phishing), provedores de hospedagem (que fornecem servidores), spammers (que entregam as mensagens às vítimas em grande escala), scanners de atividade (que validam números de telefone) e scanners de lista de bloqueio (que verificam os domínios de phishing em relação a listas de bloqueio conhecidas para rotação).
O ecossistema PhaaS da Smishing Triad
A análise da Unidade 42 revelou que quase 93.200 dos 136.933 domínios raiz (68,06%) estão registrados na Dominet (HK) Limited, um registrador com sede em Hong Kong. Os domínios com o prefixo “com” representam uma maioria significativa, embora tenha havido um aumento no registo de domínios “gov” nos últimos três meses.
Dos domínios identificados, 39.964 (29,19%) estavam ativos por dois dias ou menos, 71,3% deles estavam ativos por menos de uma semana, 82,6% deles estavam ativos por duas semanas ou menos e menos de 6% tinham uma vida útil além dos primeiros três meses de seu registro.
“Essa rápida rotatividade demonstra claramente que a estratégia da campanha depende de um ciclo contínuo de domínios recém-registrados para evitar a detecção”, observou a empresa de segurança cibernética, acrescentando os 194.345 nomes de domínio totalmente qualificados (FQDNs) usados na resolução a até 43.494 endereços IP exclusivos, a maioria dos quais estão nos EUA e hospedados na Cloudflare (AS13335).
Alguns dos outros aspectos importantes da análise de infraestrutura estão abaixo -
O Serviço Postal dos EUA (USPS) é o serviço mais representado, com 28.045 FQDNs.
As campanhas que usam iscas de serviços de pedágio são a categoria mais representada, com cerca de 90.000 FQDNs de phishing dedicados.
A infraestrutura de ataque para domínios que geram o maior volume de tráfego está localizada nos EUA, seguida pela China e Singapura.
As campanhas imitaram bancos, bolsas de criptomoedas, serviços de correio e entrega, forças policiais, empresas estatais, portagens eletrónicas, aplicações de partilha de boleias, serviços de hospitalidade, redes sociais e plataformas de comércio eletrónico na Rússia, Polónia e Lituânia.
Em campanhas de phishing que se fazem passar por serviços governamentais, os usuários são frequentemente redirecionados para páginas de destino que reivindicam pedágios não pagos e outras taxas de serviço, em alguns casos até aproveitando as iscas do ClickFix para induzi-los a executar código malicioso sob o pretexto de concluir uma verificação CAPTCHA.
“A campanha smishing que se faz passar pelos serviços de portagem dos EUA não é isolada”, disse a Unidade 42. "Em vez disso, é uma campanha em grande escala com alcance global, representando muitos serviços em diferentes setores. A ameaça é altamente descentralizada. Os atacantes registam-se e vasculham milhares de domínios diariamente."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #tríade #smishing #vinculada #a #194.000 #domínios #maliciosos #em #operação #global #de #phishing
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário