I ricercatori di sicurezza informatica lanciano l'allarme: da metà ottobre 2024 è in corso una campagna di phishing tramite SMS "diffusa e in corso" che prende di mira gli utenti delle autostrade a pedaggio negli Stati Uniti per commettere furti finanziari.
"Gli attacchi di smishing sulle autostrade a pedaggio vengono condotti da più autori di minacce motivati da interessi economici, utilizzando il kit di smishing sviluppato da 'Wang Duo Yu'", hanno valutato con moderata sicurezza i ricercatori di Cisco Talos Azim Khodjibaev, Chetan Raghuprasad e Joey Chen.
Secondo l'azienda, le campagne di phishing impersonano i sistemi di riscossione elettronica del pedaggio statunitensi come E-ZPass, inviando messaggi SMS e iMessage di Apple a persone in Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois e Kansas per segnalare un pedaggio non pagato e cliccare su un collegamento falso inviato nella chat.
Vale la pena notare che alcuni aspetti della campagna di phishing a pagamento erano stati precedentemente evidenziati dal giornalista di sicurezza Brian Krebs nel gennaio 2025, e che l'attività era riconducibile a un servizio di phishing tramite SMS con sede in Cina chiamato Lighthouse, pubblicizzato su Telegram.
Mentre Apple iMessage disattiva automaticamente i link nei messaggi ricevuti da mittenti sconosciuti, i testi di smishing sollecitano i destinatari a rispondere con "Y" per attivare il link, una tattica osservata in kit di phishing come Darcula e Xiū gǒu.
Se la vittima clicca sul link e visita il dominio, le viene chiesto di risolvere un falso CAPTCHA basato su un'immagine, dopodiché viene reindirizzata a una pagina E-ZPass falsa (ad esempio, "ezp-va[.lcom" o "e-zpass[.]com-etcjr[.]xin") dove le viene chiesto di inserire il suo nome e il codice postale per accedere alla fattura.
Alle vittime viene poi chiesto di procedere ulteriormente per effettuare il pagamento su un'altra pagina fraudolenta, dopodiché tutte le informazioni personali e finanziarie immesse vengono trasmesse agli autori della minaccia.
Talos ha osservato che diversi attori della minaccia stanno portando avanti campagne di smishing sulle autostrade a pedaggio, probabilmente utilizzando un kit di phishing sviluppato da Wang Duo Yu, e che ha osservato kit di smishing simili utilizzati da un altro gruppo cinese di criminalità informatica organizzata noto come Smishing Triad.
È interessante notare che Wang Duo Yu sarebbe anche il creatore dei kit di phishing utilizzati da Smishing Triad, secondo il ricercatore di sicurezza Grant Smith. "Il creatore è uno studente di informatica in Cina che sta usando le competenze che sta imparando per guadagnare un bel gruzzolo extra", ha rivelato Smith in un'analisi approfondita nell'agosto 2024.
Smishing Triad è nota per aver condotto attacchi di smishing su larga scala contro i servizi postali in almeno 121 paesi, utilizzando esche come fallimenti nella consegna dei pacchi per indurre i destinatari dei messaggi a cliccare su link fasulli che richiedono i loro dati personali e finanziari con il pretesto di una presunta commissione di servizio per la riconsegna.
Inoltre, gli autori della minaccia che utilizzano questi kit hanno tentato di registrare i dettagli delle carte di credito delle vittime in un portafoglio mobile, consentendo loro di incassare ulteriormente i loro fondi su larga scala utilizzando una tecnica nota come Ghost Tap.
Si è scoperto inoltre che i kit di phishing contengono backdoor, nel senso che le informazioni sulle carte di credito/debito catturate vengono anche esfiltrate ai creatori, una tecnica nota come doppio furto.
"Wang Duo Yu ha creato e progettato specifici kit di smishing e ne ha venduto l'accesso sui propri canali Telegram", ha affermato Talos. "I kit sono disponibili con diverse opzioni infrastrutturali, al prezzo di 50 dollari ciascuno per lo sviluppo completo, 30 dollari ciascuno per lo sviluppo proxy (quando il cliente dispone di un dominio e un server personali), 20 dollari ciascuno per gli aggiornamenti di versione e 20 dollari per tutto il supporto di vario tipo."
Secondo Silent Push, a partire da marzo 2025, si ritiene che il gruppo dedito alla criminalità informatica abbia concentrato i propri sforzi su un nuovo kit di phishing Lighthouse, finalizzato a raccogliere credenziali da banche e organizzazioni finanziarie in Australia e nella regione Asia-Pacifico.
Gli autori della minaccia affermano inoltre di avere "oltre 300 addetti alla reception in tutto il mondo" per supportare vari aspetti delle frodi e dei sistemi di prelievo di denaro associati al kit di phishing.
"Smishing Triad sta vendendo i suoi kit di phishing anche ad altri autori di minacce informatiche tramite Telegram e probabilmente altri canali", ha affermato l'azienda. "Queste vendite rendono difficile attribuire i kit a un singolo sottogruppo, quindi i siti sono attualmente tutti riconducibili a Smishing Triad."
Secondo Silent Push, a partire da marzo 2025, si ritiene che il gruppo dedito alla criminalità informatica abbia concentrato i propri sforzi su un nuovo kit di phishing Lighthouse, finalizzato a raccogliere credenziali da banche e organizzazioni finanziarie in Australia e nella regione Asia-Pacifico.
Gli autori della minaccia affermano inoltre di avere "oltre 300 addetti alla reception in tutto il mondo" per supportare vari aspetti delle frodi e dei sistemi di prelievo di denaro associati al kit di phishing.
In un rapporto pubblicato il mese scorso, PRODAFT ha rivelato che Lighthouse condivide tattiche simili con kit di phishing come Lucid e Darcula e che opera indipendentemente dal gruppo XinXin, il gruppo criminale informatico dietro il kit Lucid. L'azienda svizzera di sicurezza informatica sta tracciando Wang Duo Yu (alias Lao Wang) come LARVA-241.
"Un'analisi degli attacchi condotti utilizzando i panel Lucid e Darcula ha rivelato che Lighthouse (Lao Wang / Wang Duo Yu) presenta notevoli somiglianze con il gruppo XinXin in termini di targeting, landing page e modelli di creazione di domini", ha osservato PRODAFT.
La società di sicurezza informatica Resecurity, che è stata la prima a documentare lo Smishing Triad nel 2023 e che ha anche monitorato le campagne di truffa, ha affermato che il sindacato dello smishing ha utilizzato oltre 60.000 nomi di dominio, rendendo difficile per Apple e Google bloccare efficacemente l'attività fraudolenta.
"L'utilizzo di servizi di SMS sotterranei di massa consente ai criminali informatici di espandere le proprie operazioni, prendendo di mira milioni di utenti contemporaneamente", ha affermato Resecurity. "Questi servizi consentono agli aggressori di inviare in modo efficiente migliaia o milioni di messaggi di messaggistica istantanea fraudolenti, prendendo di mira singoli utenti o gruppi di utenti in base a dati demografici specifici in diverse regioni."
Nessun commento:
Posta un commento