Cyjax ha recentemente scoperto una vasta campagna di phishing che ha preso di mira le aziende di numerosi mercati verticali, tra cui quello della vendita al dettaglio, in cui gli aggressori hanno sfruttato la reputazione di marchi rinomati.
- bancario
- Viaggi
- Farmaceutico
- Viaggi
- Energia
- Trasporti
Fangxiao è un gruppo classificato come attore di minacce a sfondo finanziario, sospettato di avere sede in Cina e di essere il responsabile di questa campagna. È stato stimato che più di 42.000 domini unici sono stati registrati dal gruppo dal 2019 e il numero cresce quotidianamente.
Tutti questi domini imitano marchi famosi attraverso i quali ingannano gli utenti e li reindirizzano a siti che promuovono i seguenti elementi:
- Applicazioni adware
- Siti di incontri
- Regali gratuiti
Dall’inizio del 2017, gli attori delle minacce hanno operato in tutto il mondo, con oltre 400 marchi famosi che sono stati oggetto di spoofing.
Aziende colpite
Sono diverse le aziende colpite da questo problema, che abbiamo illustrato qui di seguito
- Emirates
- Shopee di Singapore
- Unilever
- Indomie, Indonesia
- Coca-Cola
- McDonald’s
- Knorr
A volte le vittime vengono reindirizzate dagli attori della minaccia Fangxiao verso siti web dannosi dove sono state infettate da Triada o da altri malware. Recentemente sono stati segnalati casi di diffusione di Triada attraverso false applicazioni WhatsApp che stanno propagando il malware, hanno detto i ricercatori. Nonostante ciò, Fangxiao non ha ancora stabilito una connessione diretta con gli operatori di questi siti web.
Analisi tecnica
Ogni giorno Fangxiao registra circa 300 nuovi nomi di dominio che imitano marchi. Dall’inizio di marzo 2022, gli operatori malintenzionati hanno utilizzato un totale di 24.000 landing page e domini di sondaggio per promuovere i loro falsi premi.
In generale, gli operatori utilizzano i seguenti TLD per la maggior parte dei loro siti web:
- .top
- .cn
- .cyou
- .xyz
- .work
- .tech
È importante notare che i siti web sono protetti da Cloudflare e che sono stati registrati attraverso le seguenti piattaforme:
- GoDaddy
- Namecheap
- Wix
Nella maggior parte dei casi, gli utenti vengono indirizzati a questi siti web attraverso annunci per cellulari o messaggi WhatsApp che includono un link con un’offerta o un annuncio di vincita. Google e Facebook hanno contrassegnato le pagine di destinazione degli annunci “ylliX” come sospette, in quanto il clic su questi annunci porta a una catena di reindirizzamento diversa all’interno dei siti di destinazione. Durante l’indagine di Cyjax su Fangxiao sono state trovate diverse indicazioni che indicano che l’operatore è cinese. In un pannello di controllo esposto sono stati trovati caratteri in mandarino.
