پژوهشگران امنیت سایبری میگویند گروه Smishing Triad در یک کارزار جهانی فیشینگ از هزاران دامنه که بیشتر آنها کمتر از یک هفته فعال بودهاند برای سرقت اطلاعات کاربران در کشورهای مختلف استفاده کرده است.
به گزارش افتانا، بر اساس گزارش تازه واحد تحقیقاتی Unit 42 از شرکت Palo Alto Networks، گروهی Smishing Triad از ابتدای سال ۲۰۲۴ تاکنون با بیش از ۱۹۴ هزار دامنه مخرب مرتبط بوده است. این کارزار بزرگ و مداوم که در سطح جهانی در حال اجراست، طیف گستردهای از خدمات و کاربران را هدف قرار داده است.
پژوهشگران امنیتی اعلام کردهاند که هرچند این دامنهها از طریق یک ثبتکننده در هنگکنگ ثبت شده و از nameserverهای چینی استفاده میکنند، اما زیرساخت اصلی حملات بر بستر سرویسهای ابری آمریکایی میزبانی میشود. فعالیتهای یادشده به گروهی با منشاء چینی نسبت داده شده است که با ارسال پیامکهای جعلی درباره جریمههای عوارضی یا بستههای پستی ناموفق، کاربران را فریب میدهد تا اطلاعات حساس خود را وارد کنند. طبق گزارش والاستریت ژورنال، این عملیاتها در سه سال گذشته بیش از یک میلیارد دلار سود برای مهاجمان به همراه داشتهاند.
در گزارش جداگانهای از شرکت Fortra آمده است که کیتهای فیشینگ وابسته به Smishing Triad اکنون بیش از گذشته حسابهای کارگزاری و بانکی را هدف قرار میدهند تا اطلاعات ورود و کدهای احراز هویت را سرقت کنند. آمارها نشان میدهد حملات به این نوع حسابها در سهماهه دوم سال ۲۰۲۵ نسبت به مدت مشابه سال قبل پنج برابر افزایش یافته است.
الکسیس اوبر (Alexis Ober) پژوهشگر امنیتی در اینباره گفته است: «پس از نفوذ به حسابها، مهاجمان با استفاده از روشهای Ramp and Dump قیمت سهام را دستکاری میکنند. این روشها تقریباً هیچ ردپایی بهجا نمیگذارند و ریسکهای مالی گستردهای را ایجاد میکنند.»
بررسیها نشان میدهد Smishing Triad از یک فروشنده ساده کیتهای فیشینگ به یک شبکه پیچیده و فعال از مجرمان سایبری تبدیل شده است که در قالبPhishing-as-a-Service (PhaaS) فعالیت میکنند. در این اکوسیستم، توسعهدهندگان کیتهای فیشینگ، دلالان داده که شماره تلفنهای هدف را میفروشند، ثبتکنندگان دامنههای موقت، ارائهدهندگان میزبانی، اسپمرها، اسکنرهای زندهبودن شمارهها و بررسیکنندگان لیستهای مسدود همگی نقشی هماهنگ ایفا میکنند.
تحلیل زیرساختی Unit 42 نشان میدهد حدود ۹۳٬۲۰۰ دامنه از میان ۱۳۶٬۹۳۳ دامنه اصلی (حدود ۶۸ درصد) توسط شرکت Dominet (HK) Limited در هنگکنگ ثبت شدهاند. دامنههای با پسوند .com بیشترین سهم را دارند، اما در سه ماه اخیر ثبت دامنههای .gov نیز رشد قابلتوجهی داشته است. از میان کل دامنهها، نزدیک به ۳۰ درصد کمتر از دو روز فعال بودهاند، ۷۱ درصد کمتر از یک هفته و بیش از ۸۲ درصد کمتر از دو هفته فعال ماندهاند. کمتر از ۶ درصد از این دامنهها بیش از سه ماه عمر داشتهاند.
به گفته محققان، این گردش سریع دامنهها نشاندهنده آن است که راهبرد اصلی کارزار بر پایه چرخه مداوم ثبت دامنههای جدید برای فرار از شناسایی طراحی شده است. در مجموع، ۱۹۴٬۳۴۵ دامنه کامل (FQDN) به ۴۳٬۴۹۴ آدرس IP منحصربهفرد اشاره دارند که عمدتاً در ایالات متحده میزبانی شدهاند و بیشتر آنها از زیرساخت کلاودفلر استفاده میکنند.
در میان اهداف جعلشده، خدمات پستی ایالات متحده (USPS) بیشترین سهم را دارد و بیش از ۲۸٬۰۴۵ دامنه فیشینگ با این نام شناسایی شده است. خدمات مرتبط با عوارض جادهای نیز بیشترین دسته جعلشده محسوب میشوند و حدود ۹۰ هزار دامنه به این موضوع اختصاص داشته است. زیرساخت تولید بیشترین حجم ترافیک در ایالات متحده، چین و سنگاپور قرار دارد.
این کارزارها علاوه بر ایالات متحده، بانکها، صرافیهای رمزارز، خدمات پستی، نیروهای پلیس، نهادهای دولتی، پلتفرمهای اشتراک خودرو، هتلها، شبکههای اجتماعی و فروشگاههای اینترنتی را در کشورهای روسیه، لهستان و لیتوانی جعل کردهاند. در برخی حملات که ظاهراً از سوی نهادهای دولتی انجام میشود، کاربران به صفحاتی هدایت میشوند که ادعای بدهی عوارض یا مالیات دارند و حتی از ترفندهای ClickFix برای اجرای کد مخرب در قالب CAPTCHA استفاده میشود. پژوهشگران Unit 42 تأکید کردهاند که کارزار پیامکی جعل خدمات عوارضی در ایالات متحده بخشی از یک عملیات بسیار گستردهتر با ابعاد جهانی است که خدمات مختلف را در حوزههای گوناگون تقلید میکند. این تهدید کاملاً غیرمتمرکز بوده و مهاجمان روزانه هزاران دامنه جدید ثبت میکنند تا در برابر شناسایی و مسدودسازی مقاوم بمانند.
