De Chineessprekende dreigingsactoren erachter Smishing Triade Er is waargenomen dat ze zich voordoen als de Federale Autoriteit voor Identiteit en Burgerschap van de Verenigde Arabische Emiraten om kwaadaardige sms-berichten te verzenden met als uiteindelijk doel gevoelige informatie te verzamelen van inwoners en buitenlanders in het land.
“Deze criminelen sturen kwaadaardige links naar de mobiele apparaten van hun slachtoffers via sms of iMessage en gebruiken URL-verkortingsdiensten zoals Bit.ly om de links die ze sturen willekeurig te maken”, aldus Resecurity in een rapport dat deze week werd gepubliceerd. “Dit helpt hen het domein en de hostinglocatie van de nepwebsite te beschermen.”
Smishing Triad werd voor het eerst gedocumenteerd door het cyberbeveiligingsbedrijf in september 2023, waarbij het gebruik van gecompromitteerde Apple iCloud-accounts door de groep werd benadrukt om smishing-berichten te verzenden wegens identiteitsdiefstal en financiële fraude.
Het is ook bekend dat de bedreigingsacteur kant-en-klare smishing-kits aanbiedt aan andere cybercriminelen voor $ 200 per maand, naast Magecart-achtige aanvallen op e-commerceplatforms om kwaadaardige code te injecteren en klantgegevens te stelen.
“Dit fraude-as-a-service (FaaS)-model stelt ‘Smishing Triad’ in staat hun activiteiten op te schalen door andere cybercriminelen in staat te stellen hun tools te gebruiken en onafhankelijke aanvallen uit te voeren”, aldus Resecurity.
De nieuwste aanvalsgolf is bedoeld om individuen te targeten die onlangs hun verblijfsvisum hebben bijgewerkt met schadelijke berichten. De smishing-campagne is van toepassing op zowel Android- als iOS-apparaten, waarbij de operators waarschijnlijk sms-spoofing of spamdiensten gebruiken om het plan te plegen.
Ontvangers die op de ingesloten link van het bericht klikken, worden naar een nep-achtige website (“rpjpapc[.]top”) die zich voordoet als de Federale Autoriteit voor Identiteit, Burgerschap, Douane en Havenveiligheid (ICP) van de VAE, die hen vraagt hun persoonlijke gegevens in te voeren, zoals namen, paspoortnummers, mobiele nummers, adressen en kaartgegevens.
Wat de campagne opmerkelijk maakt, is het gebruik van een geofencing-mechanisme om het phishing-formulier alleen te laden wanneer het wordt bezocht vanaf IP-adressen in de VAE en mobiele apparaten.
“De daders van deze daad hebben mogelijk toegang tot een privékanaal waar ze informatie hebben verkregen over inwoners van de VAE en buitenlanders die in het land wonen of het land bezoeken”, aldus Resecurity.
“Dit kan worden bereikt door datalekken van derden, zakelijke e-mailcompromissen, databases die op het dark web zijn gekocht of andere bronnen.”
De nieuwste campagne van Smishing Triad valt samen met de lancering van een nieuwe ondergrondse markt bekend als OLVX Marketplace (“olvx[.]cc”) dat op het clear web actief is en beweert tools te verkopen om online fraude uit te voeren, zoals phish-kits, webshells en gecompromitteerde inloggegevens.
“Terwijl de OLVX-marktplaats duizenden individuele producten in talloze categorieën aanbiedt, onderhouden de sitebeheerders relaties met verschillende cybercriminelen die aangepaste toolkits maken en gespecialiseerde bestanden kunnen verkrijgen, waardoor OLVX’s vermogen om klanten naar het platform te behouden en aan te trekken wordt vergroot”, aldus ZeroFox.
Cybercriminelen misbruiken de detectietool Predator Bot voor phishing-aanvallen
De onthulling komt op het moment dat Trellix onthulde hoe bedreigingsactoren gebruik maken van Predator, een open source-tool die is ontworpen om fraude te bestrijden en verzoeken te identificeren die afkomstig zijn van geautomatiseerde systemen, bots of webcrawlers, als onderdeel van verschillende phishing-campagnes.
Het startpunt van de aanval is een phishing-e-mail die wordt verzonden vanaf een eerder gecompromitteerd account en die een kwaadaardige link bevat. Wanneer erop wordt geklikt, wordt gecontroleerd of het binnenkomende verzoek afkomstig is van een bot of een crawler, voordat wordt doorgestuurd naar de phishing-pagina.
Het cyberbeveiligingsbedrijf zei dat het verschillende artefacten heeft geïdentificeerd waarbij de bedreigingsactoren de oorspronkelijke tool opnieuw hebben gebruikt door een lijst met hardgecodeerde links aan te bieden, in plaats van dynamisch willekeurige links te genereren wanneer wordt gedetecteerd dat een bezoeker een bot is.
“Cybercriminelen zijn altijd op zoek naar nieuwe manieren om detectie door de beveiligingsproducten van organisaties te omzeilen”, aldus beveiligingsonderzoekers Vihar Shah en Rohan Shah. “Open-source tools zoals deze maken hun taak eenvoudiger, omdat ze deze tools gemakkelijk kunnen gebruiken om detectie te voorkomen en gemakkelijker hun kwaadaardige doelen te bereiken.”
