Un sofisticato gruppo cinese dedito alla criminalità informatica, noto come "Smishing Triad", ha ampliato le sue operazioni prendendo di mira organizzazioni e individui in almeno 121 paesi in tutto il mondo.
Il gruppo, attivo dal 2023, ha sistematicamente preso di mira molteplici settori, tra cui servizi postali, logistica, telecomunicazioni, trasporti, commercio al dettaglio e settore pubblico, attraverso campagne di phishing tramite SMS ("smishing").
Questi attacchi hanno raggiunto una portata senza precedenti: i ricercatori stimano che ogni giorno siano attivi decine di migliaia di siti web dannosi.
Inizialmente focalizzata sulla consegna di pacchi e sui servizi governativi, la Smishing Triad si è di recente rivolta al furto di credenziali bancarie.
Il gruppo invia messaggi SMS fraudolenti contenenti link di phishing che reindirizzano le vittime a repliche convincenti di siti web legittimi.
Questi messaggi spesso creano un senso di urgenza segnalando problemi con le consegne dei pacchi o pagamenti di pedaggi in sospeso, spingendo gli utenti a cliccare su link dannosi.
Il gruppo ruota frequentemente i domini, con circa 25.000 domini online ogni 8 giorni per eludere il rilevamento e il blocco.
In uno sviluppo preoccupante, gli analisti di Silent Push hanno identificato nel marzo 2025 che Smishing Triad sta ora prendendo di mira importanti istituti finanziari con un nuovo kit di phishing denominato "Lighthouse".
Questo sofisticato strumento si concentra principalmente sugli istituti finanziari australiani e sulle principali banche occidentali.
Il gruppo vanta "oltre 300 addetti alla reception in tutto il mondo" a supporto delle proprie operazioni di frode, il che suggerisce un'organizzazione criminale altamente organizzata e dotata di risorse ingenti.
Più della metà della loro infrastruttura di phishing è ospitata dalle aziende cinesi Tencent e Alibaba.
Il kit di phishing bancario Lighthouse
Il kit di phishing Lighthouse rappresenta un'evoluzione significativa nelle capacità di Smishing Triad.
Secondo le comunicazioni trapelate su Telegram dallo sviluppatore "Wang Duo Yu", il kit fornisce "sincronizzazione in tempo reale, configurazione con un clic, aggiornamento con un clic, deviazione automatica" e molteplici metodi di verifica, tra cui verifica OTP, verifica app, verifica PIN e verifica 3DS.
L'analisi tecnica del file JavaScript (index-D76-mPwS.js) associato a Lighthouse rivela parametri di targeting per numerosi istituti finanziari, tra cui PayPal, Mastercard, Visa, HSBC e diverse banche australiane.
Il kit crea repliche convincenti delle interfacce bancarie, complete di sofisticati processi di verifica multifase.
.webp)
Interfaccia Lighthouse (Fonte – Silent Push)Il pannello di amministrazione del phishing consente agli aggressori di personalizzare le strutture delle directory, implementare filtri IP in base al paese e modificare gli importi di pagamento richiesti alle vittime.
L'interfaccia include opzioni per il rendering solo su dispositivi mobili, riflettendo l'attenzione della campagna rivolta agli smartphone.
Le funzionalità di gestione della sessione del kit tengono traccia dei progressi della vittima attraverso il flusso di phishing, con messaggi di stato in lingua cinese nel JavaScript che indicano: "当前正在首页" (Attualmente sulla home page), "当前已填写完成" (Compilazione attualmente completata) e "当前正在填卡页面" (Attualmente nella pagina di riempimento della carta).
Si consiglia alle organizzazioni di implementare l'autenticazione a più fattori e di informare gli utenti sulle minacce di smishing per mitigare questi attacchi sempre più sofisticati che prendono di mira le credenziali finanziarie.
Nessun commento:
Posta un commento