Een nieuwe phishing-campagne richt zich op e-commerce shoppers in Europa en de Verenigde Staten met neppagina’s die legitieme merken nabootsen met als doel hun persoonlijke gegevens te stelen voorafgaand aan het Black Friday-winkelseizoen.
“De campagne maakte gebruik van de verhoogde online winkelactiviteit in november, het hoogseizoen voor Black Friday-kortingen. De bedreigingsacteur gebruikte nepproducten met korting als phishing-lokmiddel om slachtoffers te misleiden om hun kaarthoudergegevens (CHD) en gevoelige authenticatiegegevens (SAD) en persoonlijke gegevens te verstrekken. Identificeerbare informatie (PII),’ zei EclecticIQ.
De activiteit, die begin oktober 2024 voor het eerst werd waargenomen, wordt met groot vertrouwen toegeschreven aan een Chinese financieel gemotiveerde dreigingsacteur met de codenaam SilkSpecter. Enkele van de nagebootste merken zijn IKEA, LLBean, North Face en Wayfare.
Er is vastgesteld dat de phishing-domeinen top-level domeinen (TLD’s) gebruiken, zoals .top, .shop, .store en .vip, waarbij vaak de domeinnamen van legitieme e-commerceorganisaties worden getypt als een manier om slachtoffers te lokken (bijv. Northfaceblackfriday (.)winkel). Deze websites promoten niet-bestaande kortingen, terwijl ze heimelijk bezoekersinformatie verzamelen.
De flexibiliteit en geloofwaardigheid van de phishing-kit wordt verbeterd met behulp van een Google Translate-component die de websitetaal dynamisch aanpast op basis van de geolocatiemarkeringen van de slachtoffers. Het zet ook trackers in zoals OpenReplay, TikTok Pixel en Meta Pixel om de effectiviteit van de aanvallen in de gaten te houden.
Het einddoel van de campagne is het onderscheppen van gevoelige financiële informatie die door de gebruikers is ingevoerd als onderdeel van valse bestellingen, waarbij de aanvallers Stripe misbruiken om de transacties te verwerken om hen een illusie van legitimiteit te geven, terwijl in werkelijkheid de creditcardgegevens worden gestolen. geëxfiltreerd naar servers onder hun controle.
Bovendien wordt slachtoffers gevraagd hun telefoonnummers op te geven, een stap die waarschijnlijk wordt ingegeven door de plannen van de bedreigingsacteur om vervolg-smishing- en vishing-aanvallen uit te voeren om aanvullende details vast te leggen, zoals codes voor tweefactorauthenticatie (2FA).
“Door zich voor te doen als vertrouwde entiteiten, zoals financiële instellingen of bekende e-commerceplatforms, zou SilkSpecter zeer waarschijnlijk veiligheidsbarrières kunnen omzeilen, ongeoorloofde toegang krijgen tot de accounts van slachtoffers en frauduleuze transacties kunnen initiëren”, aldus EclecticIQ.
Het is momenteel niet duidelijk hoe deze URL’s worden verspreid, maar er wordt vermoed dat er sprake is van sociale media-accounts en zoekmachineoptimalisatie (SEO).
De bevindingen komen weken nadat het Satori Threat Intelligence and Research-team van HUMAN een andere uitgestrekte en voortdurende fraudeoperatie heeft beschreven, genaamd Phish ‘n’ Ships, die draait om nepwebwinkels die ook digitale betalingsproviders zoals Mastercard en Visa misbruiken om geld en creditcardgegevens van consumenten over te hevelen. .
Het frauduleuze programma zou sinds 2019 actief zijn en meer dan 1.000 legitieme sites infecteren om valse productvermeldingen op te zetten en black hat SEO-tactieken te gebruiken om de ranking van de website in de zoekresultaten van zoekmachines kunstmatig te verbeteren. De betalingsverwerkers hebben sindsdien de accounts van de bedreigingsactoren geblokkeerd, waardoor hun mogelijkheden om geld uit te betalen worden beperkt.
“Het afrekenproces loopt vervolgens via een andere webwinkel, die integreert met een van de vier betalingsverwerkers om het afrekenen te voltooien”, aldus het bedrijf. “En hoewel het geld van de consument naar de dreigingsactor zal verhuizen, zal het item nooit aankomen.”
Het gebruik van SEO-vergiftiging om gebruikers door te sturen naar valse e-commercepagina’s is een wijdverbreid fenomeen. Volgens Trend Micro omvatten dergelijke aanvallen het installeren van SEO-malware op besmette sites, die er vervolgens voor zorgen dat de pagina’s bovenaan de zoekresultaten van zoekmachines verschijnen.
“Deze SEO-malware wordt op gecompromitteerde websites geïnstalleerd om webserververzoeken te onderscheppen en kwaadaardige inhoud terug te sturen”, aldus het bedrijf. “Door dit te doen kunnen bedreigingsactoren een vervaardigde sitemap naar zoekmachines sturen en gegenereerde lokpagina’s indexeren.”
“Dit vervuilt de zoekresultaten, waardoor de URL’s van gecompromitteerde websites verschijnen in zoekopdrachten naar productnamen die ze niet daadwerkelijk verwerken. Als gevolg daarvan worden gebruikers van zoekmachines doorverwezen om deze sites te bezoeken. De SEO-malware onderschept vervolgens de verzoekbehandelaar en stuurt de browser van de gebruiker om. om e-commercesites te vervalsen.”
Buiten de winkelfraude zijn postgebruikers in de Balkanregio het doelwit geworden van een mislukte bezorgfraude waarbij gebruik wordt gemaakt van Apple iMessage om berichten te verzenden die beweren afkomstig te zijn van de postdienst, waarbij ontvangers worden geïnstrueerd op een link te klikken om persoonlijke gegevens in te voeren. en financiële informatie om de levering te voltooien.
“De slachtoffers zouden dan hun persoonlijke gegevens moeten verstrekken, waaronder hun naam, woon- of bedrijfsadres en contactgegevens, die de cybercriminelen zullen verzamelen en gebruiken voor toekomstige phishing-pogingen”, aldus Group-IB.
“Ongetwijfeld is het geld na de betaling door de slachtoffers niet meer terug te vorderen en worden de cybercriminelen onbereikbaar, wat resulteert in het verlies van zowel persoonlijke informatie als geld voor hun slachtoffers.”