Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Smishing Triad поврзана со 194.000 злонамерни домени во глобална фишинг операција

Објавено: 27.10.2025

Актери зад голема, тековна смисинг кампања се поврзани со повеќе од 194.000 злонамерни домени од 1 јануари 2024 година, таргетирајќи широк спектар на услуги низ целиот свет, според новите наоди од Palo Alto Networks Unit 42.

„Иако овие домени се регистрирани преку регистратор со седиште во Хонг Конг и користат кинески nameserver-и, инфраструктурата на нападот главно е хостирана на популарни американски облачни сервиси“, велат истражувачите за безбедност Ритика Рамеш, Жанхао Чен, Даипинг Лиу, Чи-Веи Лиу, Шехроз Фаруки и Мое Гасемишариф.

Активноста е припишана на група поврзана со Кина, позната како Smishing Triad, која е позната по тоа што ги преплавува мобилните уреди со лажни известувања за прекршување на сообраќајни казни или погрешна достава на пакети, со цел да ги измами корисниците да преземат итна акција и да обезбедат чувствителни информации.

Овие кампањи се покажале како профитабилни, овозможувајќи на напаѓачите да заработат повеќе од 1 милијарда долари во последните три години, според неодамнешен извештај на The Wall Street Journal.

Во извештај објавен порано оваа недела, Fortra посочи дека фишинг китови поврзани со Smishing Triad се користат сè повеќе за таргетирање на брокерски сметки за добивање банкарски податоци и кодови за автентикација, при што нападите врз овие сметки забележале петкратен пораст во вториот квартал на 2025 година во споредба со истиот период минатата година.

„Откако ќе бидат компромитирани, напаѓачите манипулираат со цените на акциите користејќи тактики ‘ramp and dump’“, вели истражувачката за безбедност Алексис Обер. „Овие методи оставаат речиси никаков траг на хартија, дополнително зголемувајќи ги финансиските ризици од оваа закана.“

Колективот на напаѓачи се тврди дека еволуирал од посветен снабдувач на фишинг китови во „многу активна заедница“ која ги собира различните актери, од кои секој има клучна улога во екосистемот phishing-as-a-service (PhaaS).

Ова вклучува развивачи на фишинг китови, брокери на податоци (кои продаваат телефонски броеви на таргети), продавачи на домени (кои регистрираат потрошни домени за хостирање на фишинг сајтови), провајдери на хостинг (кои обезбедуваат сервери), спамери (кои испорачуваат пораки до жртвите во голем обем), ливнес скенери (кои валидираат телефонски броеви) и блоклист скенери (кои проверуваат фишинг домени против познати блоклистови за ротација).

Екосистемот phishing-as-a-service (PhaaS) на Smishing Triad

Анализата на Unit 42 откри дека речиси 93.200 од вкупно 136.933 корен-домени (68,06%) се регистрирани преку Dominet (HK) Limited, регистратор со седиште во Хонг Конг. Домени со префикс „com“ сочинуваат значително мнозинство, иако во последните три месеци има зголемување на регистрациите на „gov“ домени.

Од идентификуваните домени, 39.964 (29,19%) биле активни два дена или помалку, 71,3% од нив биле активни помалку од една недела, 82,6% биле активни две недели или помалку, а помалку од 6% имале животен век подолг од првите три месеци од нивната регистрација.

„Овој брз циклус јасно покажува дека стратегијата на кампањата се потпира на континуиран циклус на ново регистрирани домени за да се избегне откривање“, забележува компанијата за сајбер-безбедност, додавајќи дека 194.345 целосно квалификувани домени (FQDNs) се решаваат на дури 43.494 уникатни IP-адреси, поголемиот дел од кои се во САД и хостирани на Cloudflare (AS13335).

Некои други важни аспекти од анализата на инфраструктурата се:

  • US Postal Service (USPS) е единствената најимитирана услуга со 28.045 FQDNs.
  • Кампањите кои користат мамки поврзани со наплата на такси се најимитираниот сектор, со околу 90.000 посветени фишинг FQDNs.
  • Инфраструктурата на нападите за домени кои генерираат најголем обем на сообраќај е лоцирана во САД, следена од Кина и Сингапур.
  • Кампањите имитирале банки, криптовалутни берзи, пошта и сервис за достава, полиција, државни претпријатија, електронски наплатни системи, апликации за карпулинг, угостителски услуги, социјални медиуми и е-трговски платформи во Русија, Полска и Литванија.
  • Во фишинг кампањите кои имитираат владини услуги, корисниците често се пренасочуваат кон landing страници кои тврдат за неплатени такси и други сервисни трошоци, во некои случаи дури користејќи ClickFix мамки за да ги измамат да извршат злонамерен код под претекст дека треба да завршат CAPTCHA проверка.

„Кампањата за смисинг која имитира американски наплатни услуги не е изолирана“, велат од Unit 42. „Станува збор за голема кампања со глобален дострел, која имитира многу услуги во различни сектори. Заканата е високо децентрализирана. Напаѓачите регистрираат и дневно ротираат илјадници домени.“

Извори:

  • The Hacker News – „Smishing Triad Linked to 194,000 Malicious Domains in Global Phishing Operation“ .The Hacker News