Kineska hakerska skupina poznata kao "Fangxiao" koristi tisuće lažnih domena za ciljanje žrtava u široko rasprostranjenoj phishing kampanji.
Tisuće u opasnosti od Fangxiao phishing kampanje
Masivna phishing kampanja kojom upravlja kineska hakerska skupina "Fangxiao" dovodi tisuće ljudi u opasnost. Ova kampanja je koristila 42.000 lažnih domena za olakšavanje phishing napada. Ove samozvane domene osmišljene su za preusmjeravanje korisnika na adware (zlonamjerni softver za oglašavanje) aplikacije, darivanja i stranice za upoznavanje.
Cyjax, tvrtka za kibernetičku sigurnost i rješenja za prijetnje, otkrila je 42.000 lažnih domena korištenih u ovoj kampanji. U Cyjax post na blogu Emily Dennison i Alana Witten, prijevara je opisana kao sofisticirana, s mogućnošću "iskorištavanja ugleda međunarodnih, pouzdanih marki u više vertikala uključujući maloprodaju, bankarstvo, putovanja, farmaceutske proizvode, putovanja i energije".
Prijevara počinje s zlonamjerna WhatsApp poruka, pri čemu se lažno predstavlja pouzdani brend. Primjeri takvih marki uključuju Emirates, Coca-Colu, McDonald's i Unilever. Ova poruka daje primatelju poveznicu na web stranicu koja ima dojam privlačnosti. Stranica za preusmjeravanje ovisi o IP adresi mete, kao io njihovom korisničkom agentu.
Na primjer, McDonald's možda tvrdi da daje besplatne darove. Kada žrtva dovrši registraciju za darivanje, preuzima se Triada Trojanski malware može se pokrenuti. Zlonamjerni softver također se može instalirati nakon preuzimanja određene aplikacije, koju se žrtvama kaže da instaliraju kako bi nastavile sudjelovati u nagradnoj igri.
CloudFlare štiti napadače
Cyjax je u svom postu na blogu u vezi s ovom kampanjom naveo da Fangxiao infrastrukturu uglavnom štiti CloudFlare, američka mreža za isporuku sadržaja (CDN). Također je primijećeno da su lažne domene stvorene na GoDaddyju, Namecheapu i Wixu, a njihova su se imena često izmjenjivala.
Većina ovih phishing domena bila je registrirana s .top, a ostatak je uglavnom registriran s .cn, .cyou, .xyz, .tech i .work.
Grupa Fangxiao nije ništa novo
Hakerska grupa Fangxiao postoji već neko vrijeme. Domene koje se koriste u ovoj kampanji prvi je primijetio Cyjax 2019. godine, a od tada njihov broj raste. U listopadu 2022. Fangxiao je dodao preko 300 jedinstvenih domena u samo jednom danu.
Nije 100% potvrđeno da se grupa nalazi u Kini, ali Cyjax je odredio ovu lokaciju s visokom razinom povjerenja. Jedan od pokazatelja toga je korištenje mandarina na jednoj od izloženih kontrolnih ploča grupe. Cyjax je također nagađao da će cilj kampanje vjerojatno biti novčani dobitak.
Kampanje krađe identiteta su u porastu
Phishing je danas jedna od najpopularnijih taktika kibernetičkog kriminala, a može se pojaviti u različitim oblicima. Može biti teško uočiti phishing napade, osobito one koji su vrlo sofisticirani. Filtri neželjene pošte i antivirusni programi mogu se koristiti za ublažavanje napada krađe identiteta, iako je i dalje važno vjerovati vlastitom osjećaju i izbjegavati komunikaciju koja se ne čini sasvim dobrom.
