CTM360, iki SMS tabanlı kimlik avı kampanyasında dikkate değer bir artış gözlemledi: Pointyphish (Ödül Dolandırıcıları) ve Tollshark (Ücretli Ödeme Dolandırıcılığı).
Pointyphish, müşterileri ödeme detaylarını çalan hileli sitelere kandırmak için sona erme puanı talep ederek, aciliyet üzerinde avlanarak 3.000'den fazla alan ve kimlik avı sitesine bağlıdır.
Benzer şekilde, Tollshark 2.000'den fazla alan ve kimlik avı sitesini içeriyor ve şüphesiz bireylerden gelen hassas bilgileri yakalamak için ödenmemiş geçiş korkularından yararlanıyor. CTM360, birden fazla ülkede bu kimlik avı alanlarından binlerce binlerce kişi tespit etti, bu da bunun sadece yerelleştirilmiş bir sorun olmadığını gösteriyor - koordineli, küresel bir çaba. Bu saldırıların yaygın doğası, hassas finansal verileri çalmak amacıyla bireyleri ölçekte hedeflemek için açık bir niyet göstermektedir.
Etki geniş kapsamlı, sadece bir bölgeyi değil, dünya çapında çeşitli markaların binlerce müşterisini etkiliyor.
Bu kampanyaların merkezinde, hizmet olarak güçlü bir kimlik avı (PHAAS) platformu olan Darcula Suite var. React ve Docker üzerine inşa edilen Darcula, siber suçluların 10 dakikadan kısa bir sürede kimlik avı sitelerini başlatmasını sağlar.
Çok kanallı SMS teslimatını (iMessage ve RC'ler dahil) destekleyerek web sitelerinin tespit edilmesini zorlaştırır ve küresel olarak ölçeklendirilmesini kolaylaştırır.
Her iki saldırı da yapıda basittir: SMS dağıtımı ile başlarlar, aciliyet yaratırlar, güvenilir bir markayı taklit ederler ve müşterileri ödeme ayrıntılarını bırakmaya yönlendirirler.
CTM360, devam eden PlayPraetor kampanyasının çok daha büyük bir kısmını belirledi.
Belirli bir bankacılık saldırısına bağlı 6.000'den fazla URL ile başlayan şey, artık birden fazla kötü amaçlı yazılım varyantında 16.000'den fazla taksit alanına dönüştü. Bu araştırma devam ediyor, önümüzdeki günlerde daha fazla keşif bekleniyor.
CTM360’ın tehdit analistleri, CTM360 aldatmaca navigatörü kullanarak tüm saldırı yaşam döngüsünü haritaladı ve her adımı ayrıntılı olarak analiz etti.
Darcula sadece bir kimlik avı kiti değil, dolandırıcılık için tam bir Phaas platformu. Bu kampanyaları izlerken CTM360, Darcula Suite'i yöneten saldırganlar tarafından kullanılan açıkta kalan bir yönetici panelini ortaya çıkardı.
Bu, bu kimlik avı işlemlerinin nasıl çalıştırıldığına dair nadir bir pencere sunar:
Kampanyalara daha derin bir bakış için. Ekran görüntüleri, etki alanı örnekleri ve dolandırıcılıkların nasıl yapılandırıldığına ve küresel ölçekte çalıştığına dair bilgiler de dahil olmak üzere, raporun tamamını https://www.ctm360.com/reports/pointyphish-tollshark adresinde okuyun.
CTM360 tarafından sponsorlu ve yazılmıştır.
Kaynak: Bleeping Computer