Čínska hackerská skupina známa ako „Fangxiao“ používa tisíce podvodných domén na zacielenie na obete v rozsiahlej phishingovej kampani.
Tisíce ľudí ohrozených phishingovou kampaňou Fangxiao
Masívna phishingová kampaň prevádzkovaná čínskou hackerskou skupinou „Fangxiao“ vystavuje tisíce ľudí riziku. Táto kampaň použila 42 000 podvodných domén na uľahčenie phishingových útokov. Tieto podvodné domény sú navrhnuté tak, aby presmerovali používateľov na adware (reklamný malvér) aplikácie, darčeky a zoznamky.
Cyjax, spoločnosť zaoberajúca sa kybernetickou bezpečnosťou a riešením hrozieb, objavila 42 000 falošných domén použitých v tejto kampani. V Príspevok na blogu Cyjax Emily Dennison a Alana Witten bol podvod opísaný ako sofistikovaný so schopnosťou „zneužiť povesť medzinárodných, dôveryhodných značiek vo viacerých vertikálach vrátane maloobchodu, bankovníctva, cestovania, liečiv, cestovania a energia“.
Podvod začína a škodlivá správa WhatsApp, kde sa vydáva za dôveryhodnú značku. Príklady takýchto značiek zahŕňajú Emirates, Coca-Cola, McDonald's a Unilever. Táto správa poskytuje príjemcovi odkaz na webovú stránku, ktorá pôsobí príťažlivo. Stránka presmerovania závisí od adresy IP cieľa, ako aj od ich používateľského agenta.
Napríklad McDonald's môže tvrdiť, že poskytuje bezplatný darček. Keď obeť dokončí svoju registráciu do rozdávania, stiahne sa Triáda Trójsky malvér môže byť spustená. Škodlivý softvér je možné nainštalovať aj po stiahnutí konkrétnej aplikácie, ktorú si majú obete nainštalovať, aby sa mohli naďalej zúčastňovať na darčekoch.
Útočníci chránení CloudFlare
Cyjax vo svojom blogovom príspevku týkajúcom sa tejto kampane poznamenal, že infraštruktúra Fangxiao je väčšinou chránená CloudFlare, americkou sieťou na doručovanie obsahu (CDN). Poznamenalo sa tiež, že podvodné domény boli vytvorené na GoDaddy, Namecheap a Wix, pričom ich názvy sa často striedali.
Väčšina týchto phishingových domén bola zaregistrovaná s .top, pričom zvyšok bol väčšinou registrovaný s .cn, .cyou, .xyz, .tech a .work.
Skupina Fangxiao nie je ničím novým
Hackerská skupina Fangxiao existuje už nejaký čas. Domény používané v tejto kampani si Cyjax prvýkrát všimol v roku 2019 a odvtedy sa ich počet zvyšuje. V októbri 2022 Fangxiao pridalo viac ako 300 jedinečných domén v priebehu jediného dňa.
Nie je 100% potvrdené, že skupina sídli v Číne, ale Cyjax určil toto miesto s vysokou mierou istoty. Jedným z indikátorov je použitie mandarínky v jednom z odkrytých ovládacích panelov skupiny. Cyjax tiež špekuloval, že cieľom kampane bude pravdepodobne peňažný zisk.
Phishingové kampane sú na vzostupe
Phishing je dnes jednou z najpopulárnejších taktík počítačovej kriminality a môže mať rôzne podoby. Odhaliť phishingové útoky, najmä tie, ktoré sú vysoko sofistikované, môže byť zložité. Spamové filtre a antivírusové programy možno použiť na zmiernenie phishingových útokov, aj keď je stále dôležité dôverovať svojmu úsudku a vyhýbať sa akejkoľvek komunikácii, ktorá sa nezdá celkom v poriadku.