Gli attori di minaccia di lingua cinese dietro al gruppo “Smishing Triad” sono stati osservati mentre si spacciavano per l’Autorità Federale per l’Identità e la Cittadinanza degli Emirati Arabi Uniti, inviando messaggi SMS dannosi con l’obiettivo finale di raccogliere informazioni sensibili da residenti e stranieri nel paese.
Tattiche e Obiettivi degli Hacker
Questi criminali inviano link dannosi ai dispositivi mobili delle loro vittime tramite SMS o iMessage, utilizzando servizi di abbreviazione degli URL come Bit.ly per randomizzare i link inviati. Questo aiuta a proteggere il dominio e la posizione di hosting del sito web falso. Smishing Triad, documentato per la prima volta da Resecurity nel settembre 2023, utilizza account iCloud Apple compromessi per inviare messaggi smishing per commettere furti di identità e frodi finanziarie.
Modelli di Frode e Attacchi su Piattaforme E-commerce
Il gruppo è noto anche per offrire kit smishing pronti all’uso in vendita ad altri criminali informatici per 200 dollari al mese, oltre a impegnarsi in attacchi di stile Magecart su piattaforme e-commerce per iniettare codice dannoso e sottrarre dati dei clienti. Questo modello di “frode come servizio” (FaaS) permette a Smishing Triad di espandere le proprie operazioni, consentendo ad altri criminali informatici di sfruttare i loro strumenti e lanciare attacchi indipendenti.
Dettagli dell’Ultima Ondata di Attacchi
L’ultima ondata di attacchi è progettata per prendere di mira individui che hanno recentemente aggiornato i loro visti di residenza con messaggi dannosi. La campagna smishing si applica sia ai dispositivi Android che iOS, con gli operatori che probabilmente utilizzano spoofing SMS o servizi di spam per perpetrare lo schema.
I destinatari che cliccano sul link incorporato nel messaggio vengono portati su un sito web falso che imita l’Autorità Federale per l’Identità, la Cittadinanza, le Dogane e la Sicurezza Portuale (ICP) degli Emirati Arabi Uniti, che li invita a inserire le loro informazioni personali.
Uso di Geofencing e Canali Privati
Ciò che rende notevole la campagna è l’uso di un meccanismo di geofencing per caricare il modulo di phishing solo quando visitato da indirizzi IP e dispositivi mobili basati negli Emirati Arabi Uniti. “I perpetratori di questo atto potrebbero avere accesso a un canale privato dove hanno ottenuto informazioni su residenti e stranieri che vivono o visitano il paese”, ha detto Resecurity.
Mercato Nero Online e Abuso di Strumenti di Rilevamento Bot
La campagna di Smishing Triad coincide con il lancio di un nuovo mercato sotterraneo noto come OLVX Marketplace, che opera sul web chiaro e afferma di vendere strumenti per commettere frodi online. Inoltre, è stato rivelato come gli attori di minaccia stiano sfruttando Predator, uno strumento open-source progettato per combattere la frode e identificare richieste provenienti da sistemi automatizzati, bot o web crawler, come parte di varie campagne di phishing.