Cybersecurity-onderzoekers hebben een nieuwe phishing-kit onthuld die sinds ten minste september 2024 wordt gebruikt in campagnes gericht op Australië, Japan, Spanje, het VK en de VS.
Netcraft zei dat meer dan 2.000 phishing-websites de kit hebben geïdentificeerd, bekend als Xiū g|u, waarbij het aanbod wordt gebruikt bij aanvallen gericht op een verscheidenheid aan branches, zoals de publieke sector, post, digitale diensten en bankdiensten.
“Bedreigingsactoren die de kit gebruiken om phishing-websites in te zetten, vertrouwen vaak op de anti-bot- en hosting-verduisteringsmogelijkheden van Cloudflare om detectie te voorkomen”, aldus Netcraft in een donderdag gepubliceerd rapport.
Sommige aspecten van de phishing-kit zijn vorige maand gedocumenteerd door beveiligingsonderzoekers Will Thomas (@BushidoToken) en Fox_threatintel (@banthisguy9349).
Phishing-kits zoals Xiū g|u vormen een risico omdat ze de toegangsdrempel voor minder ervaren hackers kunnen verlagen, wat mogelijk kan leiden tot een toename van kwaadaardige campagnes die kunnen leiden tot diefstal van gevoelige informatie.
Xiū g|u, ontwikkeld door een Chineessprekende bedreigingsacteur, biedt gebruikers een beheerderspaneel en is ontwikkeld met behulp van technologieën als Golang en Vue.js. De kit is ook ontworpen om inloggegevens en andere informatie te exfiltreren van de nep-phishingpagina’s die via Telegram worden gehost op het “.top”-topniveaudomein.
De phishing-aanvallen worden verspreid via Rich Communications Services (RCS)-berichten in plaats van sms-berichten, waarbij ontvangers worden gewaarschuwd voor vermeende parkeerboetes en mislukte pakketbezorgingen. De berichten instrueren hen ook om op een link te klikken die is ingekort met behulp van een URL-verkortingsservice om de boete te betalen of het afleveradres bij te werken.
“De oplichting manipuleert slachtoffers doorgaans om hun persoonlijke gegevens te verstrekken en betalingen te doen, bijvoorbeeld om een pakket vrij te geven of een boete te betalen”, aldus Netcraft.
RCS, dat voornamelijk beschikbaar is via Apple Messages (vanaf iOS 18) en Google Messages voor Android, biedt gebruikers een verbeterde berichtenervaring met ondersteuning voor het delen van bestanden, typindicatoren en optionele ondersteuning voor end-to-end-codering (E2EE) .
In een blogpost eind vorige maand heeft de technologiegigant de nieuwe beschermingsmaatregelen beschreven die het neemt om phishing-fraude te bestrijden, waaronder het uitrollen van verbeterde oplichtingsdetectie met behulp van machine learning-modellen op het apparaat om specifiek frauduleuze berichten met betrekking tot pakketbezorging en vacatures eruit te filteren.
Google zei ook dat het beveiligingswaarschuwingen uitvoert wanneer gebruikers in India, Thailand, Maleisië en Singapore sms-berichten ontvangen van onbekende afzenders met potentieel gevaarlijke links. De nieuwe beveiligingen, die naar verwachting later dit jaar wereldwijd zullen worden uitgebreid, blokkeren ook berichten met links van verdachte afzenders.
Ten slotte voegt de zoekfunctie de optie toe om “berichten automatisch te verbergen van internationale afzenders die geen bestaande contacten zijn” door ze naar de map “Spam en geblokkeerd” te verplaatsen. De functie werd voor het eerst ingeschakeld als pilot in Singapore.
De onthulling komt op het moment dat Cisco Talos onthulde dat gebruikers van Facebook-bedrijven en advertentieaccounts in Taiwan het doelwit zijn van een onbekende bedreigingsacteur als onderdeel van een phishing-campagne die is ontworpen om stealer-malware zoals Lumma of Rhadamanthys te leveren.
De lokberichten zijn voorzien van een link die, wanneer erop wordt geklikt, het slachtoffer naar een Dropbox- of Google Appspot-domein brengt, wat de download van een RAR-archief activeert met een nep-pdf-uitvoerbaar bestand, dat dient als kanaal om de stealer-malware te laten vallen.
“De valse e-mail en valse pdf-bestandsnamen zijn ontworpen om zich voor te doen als de juridische afdeling van een bedrijf en proberen het slachtoffer ertoe te verleiden malware te downloaden en uit te voeren”, zei Talos-onderzoeker Joey Chen, eraan toevoegend dat de activiteit al sinds juli 2024 aan de gang is.
“De e-mails eisen de verwijdering van de inbreukmakende inhoud binnen 24 uur, stopzetting van verder gebruik zonder schriftelijke toestemming, en waarschuwen voor mogelijke juridische stappen en schadevergoedingsclaims wegens niet-naleving.”
Er zijn ook phishing-campagnes waargenomen die zich voordoen als OpenAI en zich richten op bedrijven over de hele wereld, waarbij hen wordt opgedragen hun betalingsgegevens onmiddellijk bij te werken door op een versluierde hyperlink te klikken.
“Deze aanval werd vanuit één domein naar meer dan 1.000 ontvangers gestuurd”, aldus Barracuda in een rapport. “De e-mail maakte echter gebruik van verschillende hyperlinks binnen de hoofdtekst van de e-mail, mogelijk om detectie te omzeilen. De e-mail slaagde voor de DKIM- en SPF-controles, wat betekent dat de e-mail is verzonden vanaf een server die geautoriseerd is om e-mails te verzenden namens het domein. het domein zelf is verdacht.”