近期一项威胁狩猎行动中,研究人员发现一批数量持续增长的欺诈域名,这些域名仿冒埃及主流服务提供商,包括法里电子支付平台、埃及邮政及卡里姆出行服务平台等。
Dark Atlas 威胁情报机构的这一发现表明,Smishing Triad 正在扩大其攻击规模 —— 该集团以大规模短信钓鱼活动著称。
此类欺诈域名旨在支持针对个人和企业的诈骗及数据窃取计划。
新型恶意域名曝光
分析师通过分析该集团基础设施的 HTTP 头信息,并利用这些指标在 Shodan中开展定向搜索,最终发现了更多恶意域名。这些域名仿冒全球知名品牌及金融平台,且集中分布在 AS132203 网络段 —— 该网络段与腾讯基础设施存在关联。
分析师指出,同一网络空间还被用于托管仿冒银联(UnionPay)、抖音国际版(TikTok)等服务的钓鱼页面,可见该犯罪集团广泛依赖共享托管资源开展攻击活动。
调查还显示,该集团依赖 Telegram(即时通讯软件)推广和销售其 “钓鱼即服务(Phishing-as-a-Service, PhaaS)” 产品。
通过分析该集团早期的 Telegram 频道,分析师发现了一段由名为 “wangduoyu8” 的成员发布的视频,视频展示了该集团的可定制化钓鱼短信工具包。这些工具包可快速部署至虚拟服务器,自动解压并配置针对多个地区受害者的钓鱼模板。
工具包中包含仿冒知名品牌的国际化模板,调查中发现的案例包括:
- 仿冒敦豪、Evri 物流、联合包裹的虚假配送通知
- 仿冒美国电话电报公司、西班牙电信、沃达丰的电信账单提醒
- 仿冒美国邮政、英国政府官网、埃及邮政的政府及邮政服务通知
来自 Darcula 的竞争压力加剧
Dark Atlas 在同一份安全公告中还详细披露了另一项相关动态:大型钓鱼即服务(PhaaS)平台 Darcula 正快速崛起。该平台在 100 多个国家 / 地区运营着超过 2 万个仿冒域名。
Netcraft 报告称,Darcula 3.0 升级版本新增了反检测功能、增强型管理面板、信用卡克隆工具及人工智能驱动的自动化功能 —— 操作人员仅需一键即可生成钓鱼页面。分析师警告,这些功能升级可能导致钓鱼攻击数量大幅上升。
研究团队表示,无论是Smishing Triad,还是 Darcula 等新兴钓鱼即服务(PhaaS)平台,均表明全球钓鱼攻击活动的技术成熟度正不断提升。
Dark Atlas 警示:“我们的调查强调,主动开展威胁狩猎、持续监控钓鱼基础设施及提升用户安全意识,对于降低此类攻击活动带来的风险至关重要。”
“随着网络犯罪分子持续创新攻击手段,深入了解其战术、技术和流程,对于构建具备韧性的防御体系、保护全球敏感信息安全而言不可或缺。”
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容