Negli Stati Uniti è in corso una vasta campagna di “smishing”, una forma di phishing tramite SMS, che vede come protagonisti criminali cibernetici di lingua cinese. Questi attori minacciosi stanno utilizzando account iCloud di Apple compromessi per inviare messaggi iMessage fraudolenti con l’obiettivo di commettere furti d’identità e frodi finanziarie.
Un’operazione sofisticata e multilingue
Secondo le analisi pubblicate la scorsa settimana da Resecurity, il gruppo dietro questa campagna, noto come “Smishing Triad”, sta operando una truffa tramite messaggi di testo che simulano notifiche di tracciamento di pacchi, inviati via iMessage, per raccogliere informazioni personali identificabili (PII) e credenziali di pagamento dalle vittime, promuovendo così furti d’identità e frodi con carte di credito. Il gruppo è anche impegnato nel business del “fraud-as-a-service”, offrendo ad altri attori kit di smishing pronti all’uso tramite Telegram, al costo di 200 dollari al mese.
Tecniche e strumenti di attacco
Questi kit impersonano popolari servizi postali e di consegna in diversi paesi, tra cui USA, UK, Polonia, Svezia, Italia, Indonesia, Malesia, Giappone, e altri. Un elemento distintivo di questa attività è l’uso di account iCloud compromessi come vettore di consegna per inviare messaggi di fallimento nella consegna dei pacchi, incitando i destinatari a cliccare su un link per riprogrammare la consegna e inserire le informazioni della carta di credito in un modulo falso. L’analisi di Resecurity sul kit di smishing ha rivelato una vulnerabilità di SQL injection che ha permesso di recuperare oltre 108.044 record di dati delle vittime.
Un gruppo organizzato e in espansione
Il gruppo Telegram associato a “Smishing Triad” include grafici, sviluppatori web e personale vendite, che supervisionano lo sviluppo di kit di phishing di alta qualità, nonché il loro marketing nei forum di cybercriminalità del dark web. Membri vietnamiti collaborano con gli attori principali in queste operazioni, collaborando anche con gruppi simili motivati finanziariamente per ampliare le loro operazioni. Oltre alle truffe legate al tracciamento dei pacchi, “Smishing Triad” è noto anche per condurre attacchi simili a Magecart, che infettano piattaforme di shopping online con iniezioni di codice malevolo per intercettare i dati dei clienti.
