De dreigingsactoren achter een grootschalige, voortdurende smishing-campagne zijn sinds 1 januari 2024 toegeschreven aan meer dan 194.000 kwaadaardige domeinen, gericht op een breed scala aan diensten over de hele wereld, volgens nieuwe bevindingen van Palo Alto Networks Unit 42.
“Hoewel deze domeinen zijn geregistreerd via een in Hong Kong gevestigde registrar en Chinese naamservers gebruiken, wordt de aanvalsinfrastructuur voornamelijk gehost op populaire Amerikaanse clouddiensten”, aldus beveiligingsonderzoekers Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi en Moe Ghasemisharif.
De activiteit wordt toegeschreven aan een aan China gelieerde groep, bekend als de Smishing Triadewaarvan bekend is dat het mobiele apparaten overspoelt met frauduleuze tolovertredingen en berichten over verkeerde bezorging in pakketten om gebruikers te misleiden om onmiddellijk actie te ondernemen en gevoelige informatie te verstrekken.
Deze campagnes zijn lucratief gebleken, waardoor de dreigingsactoren de afgelopen drie jaar meer dan $1 miljard hebben kunnen verdienen, volgens een recent rapport van The Wall Street Journal.
In een rapport dat eerder deze week werd gepubliceerd, zei Fortra dat phishing-kits die verband houden met de Smishing Triad, steeds vaker worden gebruikt om beleggingsrekeningen te targeten om bankgegevens en authenticatiecodes te verkrijgen. De aanvallen op deze accounts zijn in het tweede kwartaal van 2025 vervijfvoudigd vergeleken met dezelfde periode vorig jaar.
“Eenmaal gecompromitteerd, manipuleren aanvallers de aandelenkoersen met behulp van ‘ramp and dump’-tactieken”, zegt beveiligingsonderzoeker Alexis Ober. “Deze methoden laten vrijwel geen papieren spoor achter, waardoor de financiële risico’s die uit deze dreiging voortkomen nog groter worden.”
Het vijandige collectief zou zijn geëvolueerd van een toegewijde leverancier van phishing-kits naar een ‘zeer actieve gemeenschap’ die uiteenlopende bedreigingsactoren samenbrengt, die elk een cruciale rol spelen in het phishing-as-a-service (PhaaS)-ecosysteem.
Dit omvat ontwikkelaars van phishing-kits, datamakelaars (die doeltelefoonnummers verkopen), domeinverkopers (die wegwerpdomeinen registreren voor het hosten van phishing-sites), hostingproviders (die servers leveren), spammers (die de berichten op grote schaal aan slachtoffers bezorgen), liveness-scanners (die telefoonnummers valideren) en blokkeerlijstscanners (die de phishing-domeinen vergelijken met bekende blokkeerlijsten voor rotatie).
Uit de analyse van Unit 42 is gebleken dat bijna 93.200 van de 136.933 hoofddomeinen (68,06%) zijn geregistreerd onder Dominet (HK) Limited, een registrar gevestigd in Hong Kong. Domeinen met het voorvoegsel ‘com’ vormen een aanzienlijke meerderheid, hoewel er de afgelopen drie maanden een toename is geweest in de registratie van ‘gov’-domeinen.
Van de geïdentificeerde domeinen waren er 39.964 (29,19%) actief gedurende twee dagen of minder, 71,3% van hen was minder dan een week actief, 82,6% van hen was twee weken of minder actief, en minder dan 6% had een levensduur langer dan de eerste drie maanden van hun registratie.
“Deze snelle churn toont duidelijk aan dat de strategie van de campagne afhankelijk is van een continue cyclus van nieuw geregistreerde domeinen om detectie te omzeilen”, merkte het cyberbeveiligingsbedrijf op, terwijl hij de 194.345 volledig gekwalificeerde domeinnamen (FQDN’s) die in de oplossing werden gebruikt, toevoegde aan maar liefst 43.494 unieke IP-adressen, waarvan de meeste zich in de VS bevinden en worden gehost op Cloudflare (AS13335).
Enkele van de andere opvallende aspecten van de infrastructuuranalyse staan hieronder:
- De US Postal Service (USPS) is de meest nagebootste service met 28.045 FQDN’s.
- Campagnes waarbij gebruik wordt gemaakt van toldiensten vormen de meest nagebootste categorie, met ongeveer 90.000 speciale phishing-FQDN’s.
- De aanvalsinfrastructuur voor domeinen die het grootste verkeersvolume genereren, bevindt zich in de VS, gevolgd door China en Singapore.
- De campagnes hebben banken, cryptocurrency-uitwisselingen, post- en bezorgdiensten, politiediensten, staatsbedrijven, elektronische tolheffingen, carpooltoepassingen, horecadiensten, sociale media en e-commerceplatforms in Rusland, Polen en Litouwen nagebootst.
Bij phishing-campagnes waarin overheidsdiensten worden nagebootst, worden gebruikers vaak doorgestuurd naar landingspagina’s waarop onbetaalde tol- en andere servicekosten worden geclaimd. In sommige gevallen wordt zelfs gebruik gemaakt van ClickFix-lokmiddelen om hen te misleiden tot het uitvoeren van kwaadaardige code onder het voorwendsel van het voltooien van een CAPTCHA-controle.
“De smishing-campagne die de Amerikaanse toldiensten nabootst, staat niet op zichzelf”, aldus Unit 42. “Het is in plaats daarvan een grootschalige campagne met een mondiaal bereik, waarbij veel diensten uit verschillende sectoren worden nagebootst. De dreiging is sterk gedecentraliseerd. Aanvallers registreren en doorlopen dagelijks duizenden domeinen.”
