Dreigingsjagers hebben een nieuwe campagne blootgesteld die gebruik maakt van vergiftigingstechnieken voor zoekmachineoptimalisatie (SEO) om mobiele apparaten op werknemers te richten en loonfraude te vergemakkelijken.
De activiteit, voor het eerst gedetecteerd door Reliaquest in mei 2025 die zich richt op een niet nader genoemde klant in de productiesector, wordt gekenmerkt door het gebruik van nep -inlogpagina’s om toegang te krijgen tot de loonlijst van de werknemer en omleidt salaris naar rekeningen onder de controle van de dreigingsacteur.
“De infrastructuur van de aanvaller gebruikte gecompromitteerde Home Office -routers en mobiele netwerken om hun verkeer te maskeren, detectie te ontwijken en voorbij traditionele beveiligingsmaatregelen te glijden,” zei het cybersecuritybedrijf in een analyse die vorige week werd gepubliceerd.
“De tegenstander richtte zich specifiek op mobiele apparaten met werknemers met een nepwebsite die zich voordoet als de inlogpagina van de organisatie. Gewapend met gestolen referenties, de tegenstander kreeg toegang tot de loonlijst van de organisatie, veranderde directe stortingsinformatie en stuurde de loonchecks van werknemers naar hun eigen accounts.”
Hoewel de aanvallen niet zijn toegeschreven aan een specifieke hackgroep, zei Reliaquest dat het deel uitmaakt van een bredere, voortdurende campagne vanwege twee vergelijkbare incidenten die het eind 2024 onderzocht.
Het begint allemaal wanneer een werknemer op zoek is naar de loonlijst van zijn bedrijf op zoekmachines zoals Google, met misleidende lookalike -websites die bovenaan de resultaten opduiken met behulp van gesponsorde links. Degenen die uiteindelijk op de neplinks klikken, worden geleid naar een WordPress -site die omleidt naar een phishing -pagina die een Microsoft -inlogportal nabootst wanneer het wordt bezocht bij een mobiel apparaat.
De inloggegevens die op de nep-bestemmingspagina zijn ingevoerd, worden vervolgens geëxfiltreerd naar een door aanvallers gecontroleerde website, terwijl ze ook een tweerichtingswebsocket-verbinding tot stand brengen om de dreigingsacteur van gestolen wachtwoorden te waarschuwen met behulp van een pushmeldingen API aangedreven door Pusher.
Dit geeft aanvallers de mogelijkheid om de inloggegevens zo snel mogelijk opnieuw te gebruiken voordat ze worden gewijzigd en ongeautoriseerde toegang tot het loonlijst -systeem krijgen.
Bovendien biedt de targeting van mobiele apparaten van werknemers tweevoudige voordelen doordat ze geen beveiligingsmaatregelen voor ondernemingskwaliteit hebben die doorgaans beschikbaar zijn in desktopcomputers en ze verbinding maken buiten het bedrijfsnetwerk, waardoor de zichtbaarheid wordt verminderd en onderzoeksinspanningen belemmert.
“Door te richten op onbeschermde mobiele apparaten die geen beveiligingsoplossingen en logging missen, ontwijkt deze tactiek niet alleen de detectie, maar verstoort ook de inspanningen om de phishing -website te analyseren,” zei Reliaquest. “Dit voorkomt dat beveiligingsteams de site scannen en deze toevoegen aan indicatoren van compromis (IOC) bedreigingsfeeds, waardoor de mitigatie -inspanningen verder worden ingewikkeld.”
In een verdere poging om detectie te omzeilen, zijn de kwaadaardige inlogpogingen gevonden om afkomstig te zijn van IP -adressen van residentiële IP -adressen die zijn geassocieerd met thuiskantoorrouters, waaronder die van merken als Asus en Pakedge.
Dit geeft aan dat de dreigingsactoren zwakke punten gebruiken, zoals beveiligingsfouten, standaardreferenties of andere verkeerde configuraties die vaak dergelijke netwerkapparaten te plagen om brute-force-aanvallen te lanceren. Compromitteerde routers worden vervolgens besmet met malware die ze in proxy -botnets inschakelt, die uiteindelijk worden verhuurd aan cybercriminelen.
“Wanneer aanvallers proxy -netwerken gebruiken, vooral degenen die gekoppeld zijn aan residentiële of mobiele IP -adressen, worden ze voor organisaties veel moeilijker om te detecteren en te onderzoeken,” zei Reliaquest. “In tegenstelling tot VPN’s, die vaak worden gemarkeerd omdat hun IP -adressen eerder zijn misbruikt, laten residentiële of mobiele IP -adressen aanvallers onder de radar vliegen en voorkomen dat ze als kwaadaardig worden geclassificeerd.”
“Wat meer is, proxy -netwerken stellen aanvallers in staat om hun verkeer eruit te laten lijken alsof het afkomstig is van dezelfde geografische locatie als de doelorganisatie, waarbij beveiligingsmaatregelen worden omzeild om aanmeldingen te markeren van ongebruikelijke of verdachte locaties.”
De openbaarmaking komt als Hunt.io gedetailleerd een phishing -campagne die gebruik maakt van een nep Adobe Shared File Service -webpagina om Microsoft Outlook -inloggegevens te stelen onder het voorwendsel om toegang te geven tot bestanden die worden gedeeld door een contact. De pagina’s, volgens het bedrijf, worden ontwikkeld met behulp van de W3LL phishing -kit.
Het valt ook samen met de ontdekking van een nieuwe phishing-kit cogui die wordt gebruikt om zich actief te richten op Japanse organisaties door zich voor te doen als bekende consumenten- en financieringsmerken zoals Amazon, Paypay, MyJCB, Apple, Orico en Rakuten. Er zijn tussen januari en april 2025 maar liefst 580 miljoen e -mails verzonden als onderdeel van campagnes met behulp van de kit.
“Cogui is een geavanceerde kit die geavanceerde ontwijkingstechnieken gebruikt, waaronder geofencing, headers schermen en vingerafdrukken om detectie te voorkomen door geautomatiseerde browsasystemen en sandboxen,” zei Enterprise Security Firm Proofpoint in een analyse die deze maand werd uitgebracht. “Het doel van de campagnes is om gebruikersnamen, wachtwoorden en betalingsgegevens te stelen.”
De phishing -e -mails die in de aanvallen werden waargenomen, zijn onder meer links die leiden tot phishing -websites van de referentie. Dat gezegd hebbende, het is opmerkelijk dat Cogui-campagnes geen mogelijkheden omvatten om multi-factor authenticatie (MFA) codes te verzamelen.
Van Cogui zou sinds minstens oktober 2024 worden gebruikt en wordt verondersteld enkele overeenkomsten te delen met een andere bekende Phishing Toolkit-codenaam Darcula-wat suggereert dat de eerste deel zou kunnen uitmaken van dezelfde Chinese PHAAS-ecosysteem genaamd Smishing TRIAD die ook inclusief lucide en vuurtoren omvat.
Dat gezegd hebbende, een cruciaal aspect dat Darcula van Cogui scheidt, is dat de eerste meer gericht is op mobiel en smetters, en als doel heeft creditcardgegevens te stelen.
“Darcula wordt toegankelijker, zowel in termen van kosten en beschikbaarheid, dus het zou in de toekomst een belangrijke bedreiging kunnen vormen”, vertelde PRODAFT The Hacker News in een verklaring. “Aan de andere kant blijft Lucid onder de radar blijven. Het blijft een uitdaging om phishing -kits te identificeren alleen door te kijken naar sms -berichten of URL -patronen, omdat ze vaak gemeenschappelijke leveringsdiensten gebruiken.”
Een andere nieuwe aanpasbare Smishing -kit die uit het Chinese landschap van cybercriminaliteit is voortgekomen, is Panda Shop, dat een netwerk van telegramkanalen en interactieve bots gebruikt om de dienstverlening te automatiseren. De phishing -pagina’s zijn ontworpen om populaire merken en overheidsdiensten na te bootsen om persoonlijke informatie te stelen. Interepteerde creditcardgegevens worden verzonden naar ondergrondse kaarten en verkocht aan andere cybercriminelen.
“Met name de Chinese cybercriminale syndicaten die betrokken zijn bij Smishing zijn brutaal omdat ze zich onaantastbaar voelen,” zei Resecurity. “Ze hebben in hun communicatie benadrukt dat ze niet geven om Amerikaanse wetshandhavingsinstanties. Wonen in China, ze genieten volledige vrijheid van actie en nemen ze veel illegale activiteiten aan.”
Resecurity, die in maart 2025 Panda-winkel identificeerde, zei dat de dreigingsacteur een misdaad-als-een-service-model exploiteert vergelijkbaar met dat van Smishing Triad, waardoor klanten de mogelijkheid bieden om smettelijke berichten te distribueren via Apple IMessage en Android RC’s met behulp van gecompromitteerde Apple- en Gmail-accounts die in bulk zijn gekocht.
Er wordt aangenomen dat Panda Shop Smishing Triad -leden omvat op basis van de overeenkomsten in de gebruikte phishing -kits. Een aantal dreigingsacteurs is ook waargenomen met behulp van de Smishing -kit voor Google Wallet en Apple Pay Fraude.
“De acteurs achter SMISH -campagnes zijn nauw verbonden met degenen die betrokken zijn bij handelsfraude en het witwassen van geld,” zei Resecurity. “Smishing is een van de belangrijkste katalysatoren achter kaartactiviteiten en biedt cybercriminelen aanzienlijke hoeveelheden gecompromitteerde gegevens die zijn verzameld van slachtoffers.”
