Китайская хакерская группа, известная как «Fangxiao», использует тысячи доменов-самозванцев для нацеливания на жертв в рамках широкомасштабной фишинговой кампании.
Тысячи людей подвергаются риску фишинговой кампании Fangxiao
Масштабная фишинговая кампания, проводимая китайской хакерской группой Fangxiao, подвергает риску тысячи людей. В этой кампании было использовано 42 000 самозваных доменов для облегчения фишинговых атак. Эти самозваные домены предназначены для перенаправления пользователей на рекламные (рекламные вредоносные программы) приложения, бесплатные раздачи и сайты знакомств.
Cyjax, компания, занимающаяся решениями в области кибербезопасности и угроз, обнаружила 42 000 фальшивых доменов, использованных в этой кампании. В Сообщение в блоге Cyjax Эмили Деннисон и Алана Виттен афера была описана как изощренная, с возможностью «эксплуатировать репутацию международных надежных брендов в различных сферах, включая розничную торговлю, банковское дело, путешествия, фармацевтику, путешествия и энергия».
Афера начинается с вредоносное сообщение WhatsApp, где олицетворяется доверенный бренд. Примеры таких брендов включают Emirates, Coca-Cola, McDonald's и Unilever. Это сообщение предоставляет получателю ссылку на веб-страницу, которая вызывает ощущение привлекательности. Сайт перенаправления зависит от IP-адреса цели, а также от их пользовательского агента.
Например, McDonald's может претендовать на бесплатную раздачу. Когда жертва завершает регистрацию в розыгрыше, загрузка Триады Троянское вредоносное ПО может быть запущен. Вредоносное ПО также может быть установлено при загрузке определенного приложения, которое жертвам предлагается установить, чтобы продолжить участие в розыгрыше.
Злоумышленники защищены CloudFlare
Cyjax отметил в своем блоге об этой кампании, что инфраструктура Fangxiao в основном защищена CloudFlare, американской сетью доставки контента (CDN). Также было отмечено, что самозваные домены были созданы на GoDaddy, Namecheap и Wix, и их имена часто менялись.
Большинство этих фишинговых доменов были зарегистрированы с доменом .top, а остальные в основном зарегистрированы с доменами .cn, .cyou, .xyz, .tech и .work.
В группе Fangxiao нет ничего нового
Хакерская группа Fangxiao существует уже некоторое время. Домены, используемые в этой кампании, были впервые замечены Cyjax в 2019 году, и с тех пор их число увеличивается. В октябре 2022 года Fangxiao добавила более 300 уникальных доменов всего за один день.
Не подтверждено на 100%, что группа базируется в Китае, но Cyjax определила это место с высокой степенью уверенности. Одним из показателей этого является использование китайского языка в одной из открытых панелей управления группы. Cyjax также предположил, что целью кампании, вероятно, будет получение денежной выгоды.
Фишинговые кампании набирают популярность
Фишинг — одна из самых популярных тактик киберпреступлений на сегодняшний день, и она может проявляться в самых разных формах. Обнаружить фишинговые атаки, особенно очень сложные, бывает непросто. Спам-фильтры и антивирусные программы можно использовать для смягчения последствий фишинговых атак, хотя по-прежнему важно доверять своей интуиции и избегать любых сообщений, которые кажутся не совсем правильными.