Cybersecurity-onderzoekers waarschuwen voor een “wijdverbreide en voortdurende” sms-phishing-campagne die zich sinds half oktober 2024 richt op tolweggebruikers in de Verenigde Staten voor financiële diefstal.
“De Toll Road Smishing -aanvallen worden uitgevoerd door meerdere financieel gemotiveerde dreigingsactoren die de Smishing -kit ontwikkelden ontwikkeld door ‘Wang Duo Yu’,” “Cisco Talos -onderzoekers Azim Khodjibaev, Chetan Raghuprasad en Joey Chen beoordeelden met gematigd vertrouwen.
De phishing-campagnes, volgens het bedrijf, impliceren de Amerikaanse elektronische tolcollectie-systemen zoals E-ZPass, sturen sms-berichten en Apple Imessages naar individuen in Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois en Kansas over een onbetaalde tol en klik op een nep-link die in de chat wordt verzonden.
Het is vermeldenswaard dat sommige aspecten van de tol-phishing-campagne eerder werden benadrukt door beveiligingsjournalist Brian Krebs in januari 2025, met de activiteit die terugging tot een in China gevestigde sms-phishing-service genaamd Lighthouse die wordt geadverteerd op Telegram.
Terwijl Apple IMessage links automatisch schakelt in berichten die van onbekende afzenders zijn ontvangen, dringen de Smishing -teksten er bij ontvangers op aan te reageren met “Y” om de link te activeren – een tactiek waargenomen in phishing -kits zoals Darcula en Xiū Gǒu.
Als het slachtoffer op de link klikt en het domein bezoekt, worden ze gevraagd om een nep-afbeelding-gebaseerde Captcha-uitdaging op te lossen, waarna ze worden omgeleid naar een nep-e-zPass-pagina (bijv. “EZP-VA (.lcom” of “E-ZPass (.) Com-etcjr (.) Xin”) Waar ze worden gevraagd om hun naam en zip-code tot toegang te krijgen tot de rekening.
Doelen worden vervolgens gevraagd om verder te gaan met het doen van de betaling op een andere frauduleuze pagina, waarna alle ingevoerde persoonlijke en financiële informatie wordt overgeheveld aan de dreigingsactoren.
Talos merkte op dat meerdere dreigingsacteurs de Toll Road Smishing -campagnes exploiteren door waarschijnlijk gebruik te maken van een phishing -kit ontwikkeld door Wang Duo Yu, en dat het heeft waargenomen dat soortgelijke Smishing -kits worden gebruikt door een andere Chinese georganiseerde cybercriminaliteitsgroep die bekend staat als de Smishing TRIAD.
Interessant is dat Wang Duo Yu ook de maker van de phishing -kits wordt gebruikt die door Smishing Triad Smishing -onderzoeker Grant Smith worden gebruikt. “De maker is een huidige student informatica in China die de vaardigheden gebruikt die hij leert een behoorlijk cent aan de kant te maken,” onthulde Smith in een uitgebreide analyse in augustus 2024.
Smishing Triad staat bekend om het uitvoeren van grootschalige Smishing-aanvallen gericht op postdiensten in ten minste 121 landen, met behulp van mislukte pakketbelevingsverslies om berichten ontvangers over te halen om op neplinks te klikken die hun persoonlijke en financiële informatie vragen onder het mom van een veronderstelde servicekosten voor heraflevering.
Bovendien hebben bedreigingsacteurs die deze kits gebruiken hebben geprobeerd de kaartdetails van slachtoffers in te schrijven voor een mobiele portemonnee, waardoor ze hun fondsen op schaal verder kunnen betalen met behulp van een techniek die bekend staat als Ghost Tap.
De phishing -kits zijn ook gebleken dat de vastgelegde creditcard/betaalkaartinformatie ook wordt geëxfiltreerd voor de makers, een techniek die bekend staat als dubbele diefstal.
“Wang Duo Yu heeft specifieke Smishing -kits gemaakt en ontworpen en heeft toegang tot deze kits verkocht op hun telegramkanalen,” zei Talos. “De kits zijn beschikbaar met verschillende infrastructuuropties, elk geprijsd op US $ 50 voor een volledige ontwikkeling, $ 30 elk voor proxy-ontwikkeling (wanneer de klant een persoonlijk domein en server heeft), $ 20 elk voor versie-updates en $ 20 voor alle andere diverse ondersteuning.”
Vanaf maart 2025 wordt verondersteld dat de E-crime-groep hun inspanningen heeft gericht op een nieuwe phishing-kit van vuurtoren die is gericht op het oogsten van referenties van banken en financiële organisaties in Australië en de regio Azië-Pacific, volgens Silent Push.
De dreigingsactoren beweren ook “300+ receptiepersoneel wereldwijd” te hebben om verschillende aspecten van de fraude en cash-outschema’s te ondersteunen die verband houden met de phishing-kit.
“Smishing Triad verkoopt ook zijn phishing -kits aan andere kwaadwillige afgestemde dreigingsacteurs via telegram en waarschijnlijk andere kanalen,” zei het bedrijf. “Deze verkopen maken het moeilijk om de kits toe te schrijven aan een subgroep, dus de sites worden momenteel allemaal hier toegeschreven onder de Smishing Triad -paraplu.”
In een rapport dat vorige maand werd gepubliceerd, onthulde PRODAFT dat vuurtoren tactische overlappingen deelt met phishing -kits zoals Lucid en Darcula, en dat het onafhankelijk van de Xinxin -groep, de cybercrime -groep achter de lucide kit, werkt. Het Zwitserse Cybersecurity Company volgt Wang Duo Yu (aka Lao Wang) als larve-241.
“Een analyse van aanvallen uitgevoerd met behulp van de lucide en darcula -panels onthulde dat vuurtoren (Lao Wang / Wang Duo Yu) aanzienlijke overeenkomsten deelt met de Xinxin -groep in termen van targeting, bestemmingspagina’s en domeincreatiepatronen,” merkte PRODAFT op.
Resecurity van Cybersecurity Company, die de eerste was die Smishing Triad in 2023 documenteerde en ook de zwendeltolcampagnes heeft bijgehouden, zei dat het Smishing Syndicate meer dan 60.000 domeinnamen heeft gebruikt, waardoor Apple en Google de frauduleuze activiteit op een effectieve manier hebben geblokkeerd.
“Met behulp van ondergrondse bulk SMS -services kunnen cybercriminelen hun activiteiten opschalen, waardoor miljoenen gebruikers tegelijkertijd gericht zijn,” zei Resecurity. “Deze services stellen aanvallers in staat om duizenden of miljoenen frauduleuze IM -berichten efficiënt te verzenden, waarbij gebruikers zich individueel richten of groepen gebruikers op basis van specifieke demografie in verschillende regio’s.”
