En kinesisk hackergruppe kjent som "Fangxiao" bruker tusenvis av bedragerdomener for å målrette mot ofre i en utbredt phishing-kampanje.
Tusenvis i fare for Fangxiao-phishing-kampanje
En massiv phishing-kampanje drevet av den kinesiske hackergruppen «Fangxiao» setter tusenvis av mennesker i fare. Denne kampanjen har brukt 42 000 bedragerdomener for å legge til rette for phishing-angrep. Disse bedragerdomenene er utformet for å omdirigere brukere til adware-apper (malware-annonsering), giveaways og datingsider.
Cyjax, et selskap for cybersikkerhet og trusselløsninger, oppdaget de 42 000 falske domenene som ble brukt i denne kampanjen. I en Cyjax blogginnlegg av Emily Dennison og Alana Witten, ble svindelen beskrevet som sofistikert, med evnen til å "utnytte ryktet internasjonale, pålitelige merkevarer i flere vertikaler, inkludert detaljhandel, bank, reise, legemidler, reise og energi".
Svindelen begynner med en ondsinnet WhatsApp-melding, der et pålitelig merke er etterlignet. Eksempler på slike merker inkluderer Emirates, Coca-Cola, McDonald's og Unilever. Denne meldingen gir mottakeren en lenke til en nettside som får en følelse av lokke. Omdirigeringssiden er avhengig av IP-adressen til målet, så vel som brukeragenten deres.
For eksempel kan McDonald's hevde å gjøre en gratis giveaway. Når offeret fullfører registreringen til giveawayen, kan du laste ned Triadaen Trojansk skadelig programvare kan utløses. Skadelig programvare kan også installeres ved nedlasting av en spesifikk app, som ofrene blir bedt om å installere for å fortsette å delta i giveawayen.
Angripere beskyttet av CloudFlare
Cyjax bemerket i sitt blogginnlegg angående denne kampanjen at Fangxiaos infrastruktur stort sett er beskyttet av CloudFlare, et amerikansk innholdsleveringsnettverk (CDN). Det ble også bemerket at bedragerdomenene ble opprettet på GoDaddy, Namecheap og Wix, og navnene deres ble rotert med jevne mellomrom.
De fleste av disse phishing-domenene ble registrert med .top, mens resten stort sett var registrert med .cn, .cyou, .xyz, .tech og .work.
Fangxiao-gruppen er ikke noe nytt
Hackinggruppen Fangxiao har eksistert en stund. Domenene som brukes i denne kampanjen ble først lagt merke til av Cyjax i 2019, og har økt i antall siden den gang. I oktober 2022 ble over 300 unike domener lagt til av Fangxiao i løpet av bare én dag.
Gruppen er ikke 100 % bekreftet å være basert i Kina, men Cyjax har bestemt dette stedet med høy grad av selvtillit. En indikator på dette er bruken av mandarin i et av gruppens eksponerte kontrollpaneler. Cyjax spekulerte også i at målet med kampanjen sannsynligvis vil være økonomisk gevinst.
Phishing-kampanjer er på vei oppover
Phishing er en av de mest populære nettkriminalitetstaktikkene der ute i dag, og kan komme i en rekke forskjellige former. Det kan være vanskelig å oppdage phishing-angrep, spesielt de som er svært sofistikerte. Spamfiltre og antivirusprogrammer kan brukes til å redusere phishing-angrep, men det er fortsatt viktig å stole på magefølelsen og unngå kommunikasjon som ikke virker helt riktig.
