Un gruppo di hacker cinese noto come "Fangxiao" sta utilizzando migliaia di domini impostori per prendere di mira le vittime in una diffusa campagna di phishing.
Migliaia a rischio della campagna di phishing di Fangxiao
Una massiccia campagna di phishing gestita dal gruppo di hacker cinese "Fangxiao" sta mettendo a rischio migliaia di persone. Questa campagna ha utilizzato 42.000 domini impostori per facilitare gli attacchi di phishing. Questi domini impostori sono progettati per reindirizzare gli utenti ad app adware (malware pubblicitario), omaggi e siti di incontri.
Cyjax, una società di soluzioni per la sicurezza informatica e le minacce, ha scoperto i 42.000 domini fasulli utilizzati in questa campagna. In un Post sul blog Cyjax da Emily Dennison e Alana Witten, la truffa è stata descritta come sofisticata, con la capacità di "sfruttare la reputazione di marchi affidabili e internazionali in più settori verticali tra cui vendita al dettaglio, banche, viaggi, prodotti farmaceutici, viaggi e energia".
La truffa inizia con a messaggio WhatsApp dannoso, in cui viene impersonato un marchio affidabile. Esempi di tali marchi includono Emirates, Coca-Cola, McDonald's e Unilever. Questo messaggio fornisce al destinatario un collegamento a una pagina Web a cui viene dato un senso di fascino. Il sito di reindirizzamento dipende dall'indirizzo IP della destinazione, nonché dal suo agente utente.
Ad esempio, McDonald's potrebbe affermare di fare un omaggio gratuito. Quando la vittima completa la registrazione al giveaway, il download della Triada Malware di Troia può essere attivato. Il malware può anche essere installato scaricando un'app specifica, che alle vittime viene chiesto di installare per continuare a partecipare all'omaggio.
Attaccanti protetti da CloudFlare
Cyjax ha notato nel suo post sul blog relativo a questa campagna che l'infrastruttura di Fangxiao è per lo più protetta da CloudFlare, un Content Delivery Network (CDN) americano. È stato anche notato che i domini impostori sono stati creati su GoDaddy, Namecheap e Wix, con i loro nomi che venivano ruotati su base frequente.
La maggior parte di questi domini di phishing è stata registrata con .top, mentre il resto è stato registrato principalmente con .cn, .cyou, .xyz, .tech e .work.
Il gruppo Fangxiao non è una novità
Il gruppo di hacker Fangxiao esiste da tempo. I domini utilizzati in questa campagna sono stati notati per la prima volta da Cyjax nel 2019 e da allora sono aumentati di numero. Nell'ottobre 2022, Fangxiao ha aggiunto oltre 300 domini unici nell'arco di un solo giorno.
Non è confermato al 100% che il gruppo abbia sede in Cina, ma Cyjax ha determinato questa posizione con un alto livello di fiducia. Un indicatore di ciò è l'uso del mandarino in uno dei pannelli di controllo esposti del gruppo. Cyjax ha anche ipotizzato che l'obiettivo della campagna sia probabilmente un guadagno monetario.
Le campagne di phishing sono in aumento
Il phishing è una delle tattiche di criminalità informatica più popolari in circolazione oggi e può presentarsi in una varietà di forme. Può essere difficile individuare gli attacchi di phishing, in particolare quelli altamente sofisticati. I filtri antispam e i programmi antivirus possono essere utilizzati per mitigare gli attacchi di phishing, sebbene sia comunque importante fidarsi del proprio istinto ed evitare qualsiasi comunicazione che non sembri del tutto corretta.
