Các đối tượng đe dọa đằng sau một chiến dịch smishing quy mô lớn, đang diễn ra đã được quy cho hơn 194.000 tên miền độc hại kể từ ngày 1 tháng 1 năm 2024, nhắm mục tiêu vào nhiều dịch vụ trên toàn thế giới, theo những phát hiện mới từ Palo Alto Networks Unit 42.
"Mặc dù các tên miền này được đăng ký thông qua một nhà đăng ký có trụ sở tại Hồng Kông và sử dụng các nameserver của Trung Quốc, nhưng cơ sở hạ tầng tấn công chủ yếu được lưu trữ trên các dịch vụ cloud phổ biến của Hoa Kỳ," các nhà nghiên cứu an ninh Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, và Moe Ghasemisharif cho biết.
Hoạt động này đã được quy cho một nhóm có liên quan đến Trung Quốc được gọi là Smishing Triad, nhóm này được biết đến là gửi hàng loạt tin nhắn lừa đảo đến các thiết bị di động với các thông báo vi phạm phí cầu đường giả mạo và thông báo giao hàng sai để lừa người dùng thực hiện hành động ngay lập tức và cung cấp thông tin nhạy cảm.
Các chiến dịch này đã chứng tỏ là rất sinh lợi, cho phép các đối tượng đe dọa kiếm được hơn 1 tỷ USD trong ba năm qua, theo một báo cáo gần đây của The Wall Street Journal.
Trong một báo cáo được công bố đầu tuần này, Fortra cho biết các phishing kit liên quan đến Smishing Triad đang được sử dụng để ngày càng nhắm mục tiêu vào các brokerage accounts nhằm lấy cắp banking credentials và authentication codes, với các cuộc tấn công nhắm vào các tài khoản này đã tăng gấp 5 lần trong quý 2 năm 2025 so với cùng kỳ năm ngoái.
"Khi bị xâm nhập, kẻ tấn công sẽ thao túng giá thị trường chứng khoán bằng cách sử dụng các chiến thuật 'ramp and dump'," nhà nghiên cứu an ninh Alexis Ober cho biết. "Các phương pháp này hầu như không để lại dấu vết, càng làm tăng thêm rủi ro tài chính phát sinh từ mối đe dọa này."
Tập đoàn đối địch này được cho là đã phát triển từ một nhà cung cấp phishing kit chuyên dụng thành một "cộng đồng hoạt động tích cực" tập hợp các threat actors khác nhau, mỗi người trong số họ đóng một vai trò quan trọng trong hệ sinh thái phishing-as-a-service (PhaaS).
Điều này bao gồm các phishing kit developers, data brokers (những người bán target phone numbers), domain sellers (những người đăng ký disposable domains để lưu trữ các phishing sites), hosting providers (những người cung cấp servers), spammers (những người gửi messages đến victims at scale), liveness scanners (những người validate phone numbers), và blocklist scanners (những người check các phishing domains so với các blocklist đã biết để rotation).
Phân tích của Unit 42 đã tiết lộ rằng gần 93.200 trong số 136.933 root domains (68,06%) được đăng ký dưới tên Dominet (HK) Limited, một registrar có trụ sở tại Hồng Kông. Các tên miền có tiền tố "com" chiếm phần lớn đáng kể, mặc dù đã có sự gia tăng trong việc đăng ký tên miền "gov" trong ba tháng qua.
Trong số các tên miền được xác định, 39.964 (29,19%) hoạt động trong hai ngày trở xuống, 71,3% trong số đó hoạt động dưới một tuần, 82,6% trong số đó hoạt động trong hai tuần trở xuống, và dưới 6% có lifespan vượt quá ba tháng đầu tiên kể từ khi đăng ký.
"Sự thay đổi nhanh chóng này thể hiện rõ ràng rằng chiến lược của chiến dịch dựa vào một chu trình liên tục các tên miền mới đăng ký để né tránh sự phát hiện," công ty an ninh mạng lưu ý, thêm rằng 194.345 fully qualified domain names (FQDNs) được sử dụng để phân giải thành 43.494 unique IP addresses, hầu hết trong số đó nằm ở Hoa Kỳ và được lưu trữ trên Cloudflare (AS13335).
Các khía cạnh nổi bật của phân tích cơ sở hạ tầng
- Dịch vụ Bưu chính Hoa Kỳ (USPS) là dịch vụ bị mạo danh nhiều nhất với 28.045 FQDN.
- Các chiến dịch sử dụng toll services lures là danh mục bị mạo danh nhiều nhất, với khoảng 90.000 FQDN phishing chuyên dụng.
- Cơ sở hạ tầng tấn công cho các tên miền tạo ra lượng traffic lớn nhất nằm ở Hoa Kỳ, tiếp theo là Trung Quốc và Singapore.
- Các chiến dịch đã mạo danh các banks, cryptocurrency exchanges, mail và delivery services, police forces, state-owned enterprises, electronic tolls, carpooling applications, hospitality services, social media, và e-commerce platforms ở Nga, Ba Lan và Lithuania.
Trong các phishing campaigns mạo danh government services, người dùng thường được chuyển hướng đến các landing pages tuyên bố có các khoản toll chưa thanh toán và các service charges khác, trong một số trường hợp thậm chí còn leveraging ClickFix lures để lừa họ chạy malicious code dưới chiêu bài hoàn thành kiểm tra CAPTCHA.
"Chiến dịch smishing mạo danh U.S. toll services không phải là một trường hợp đơn lẻ," Unit 42 cho biết. "Thay vào đó, nó là một chiến dịch quy mô lớn với global reach, mạo danh nhiều services trên các sectors khác nhau. Mối đe dọa này được highly decentralized. Attackers đang đăng ký và churning through thousands of domains daily."
