A "Fangxiao" néven ismert kínai hackercsoport több ezer csaló domaint használ áldozatok megcélzására egy széles körben elterjedt adathalász kampányban.
Több ezren vannak kitéve a Fangxiao adathalász kampánynak
A "Fangxiao" kínai hackercsoport által működtetett hatalmas adathalász kampány több ezer embert veszélyeztet. Ez a kampány 42 000 csaló domaint használt fel az adathalász támadások elősegítésére. Ezeket a csalódomaineket úgy tervezték, hogy a felhasználókat adware (rosszindulatú programokat hirdető) alkalmazásokhoz, ajándéktárgyakhoz és társkereső oldalakhoz irányítsák át.
A Cyjax, egy kiberbiztonsági és fenyegetési megoldásokkal foglalkozó vállalat fedezte fel a kampányban használt 42 000 hamis domaint. Az a Cyjax blogbejegyzés Emily Dennison és Alana Witten a csalást kifinomultnak minősítették, amely képes "kihasználni a hírnevet" nemzetközi, megbízható márkák több ágazatban, beleértve a kiskereskedelmet, a bankszektort, az utazást, a gyógyszergyártást, az utazást és energia".
Az átverés azzal kezdődik, hogy a rosszindulatú WhatsApp üzenet, ahol egy megbízható márkát adnak ki. Ilyen márkák például az Emirates, a Coca-Cola, a McDonald's és az Unilever. Ez az üzenet egy olyan weboldalra mutató hivatkozást ad a címzettnek, amely csábító érzést kelt. Az átirányítási webhely a cél IP-címétől, valamint a felhasználói ügynökétől függ.
Például a McDonald's azt állítja, hogy ingyenes ajándékot ad. Amikor az áldozat befejezi regisztrációját az ajándékozásra, a Triada letöltése Trójai kártevő kiváltható. Rosszindulatú programok is telepíthetők egy adott alkalmazás letöltése után, amelyet az áldozatoknak telepíteniük kell, hogy továbbra is részt vegyenek az ajándékozásban.
A CloudFlare által védett támadók
A Cyjax a kampánnyal kapcsolatos blogbejegyzésében megjegyezte, hogy a Fangxiao infrastruktúráját többnyire a CloudFlare, egy amerikai tartalomszolgáltató hálózat (CDN) védi. Azt is megjegyezték, hogy a csaló domaineket a GoDaddy, a Namecheap és a Wix rendszeren hozták létre, és a nevüket gyakran cserélték.
Ezeknek az adathalász domaineknek a többségét .top, a többit pedig többnyire .cn, .cyou, .xyz, .tech és .work azonosítókkal regisztrálták.
A Fangxiao csoport nem újdonság
A Fangxiao hackercsoport már egy ideje létezik. A kampányban használt domainekre a Cyjax 2019-ben figyelt fel először, és azóta is növekszik a számuk. 2022 októberében a Fangxiao egyetlen nap leforgása alatt több mint 300 egyedi domaint adott hozzá.
A csoport székhelye nem 100%-ban Kínában található, de a Cyjax nagy magabiztossággal határozta meg ezt a helyet. Ennek egyik mutatója a mandarin használata a csoport egyik kitett vezérlőpaneljén. A Cyjax azt is feltételezte, hogy a kampány célja valószínűleg pénzbeli nyereség lesz.
Az adathalász kampányok növekszik
Az adathalászat manapság az egyik legnépszerűbb kiberbűnözési taktika, és többféle formában jelentkezhet. Nehéz lehet felismerni az adathalász támadásokat, különösen a rendkívül kifinomultakat. A spamszűrők és a víruskereső programok használhatók az adathalász támadások mérséklésére, bár továbbra is fontos, hogy bízzon a megérzéseiben, és kerülje a nem megfelelőnek tűnő kommunikációt.