Китайская группировка расширила свою деятельность на Ближний Восток

Компания Group-IB сообщает о новой волне мошенничества хакерской группировки, говорящей по-китайски и выдающей себя за государственные органы ОАЭ. Деятельность группировки, получившей название Postal Furious, была впервые задокументирована безопасниками в этом апреле.

Тогда её целью были пользователи Азиатско-Тихоокеанского региона. Хакеры выдавали себя за почтовые компании и операторов междугородной связи. Теперь Group-IB установила, что группировка расширила свою деятельность на ОАЭ.

В начале мая власти ОАЭ предупредили жителей страны о мошеннической кампании, в ходе которой злоумышленники выдавали себя за местного оператора дорожных сборов. Вторая мошенническая схема работала под видом почтовой службы. Центр сопротивления цифровым преступлениям Group-IB в Дубае смог причислить эту кампанию к деятельности Postal Furious.

Согласно данным расследования, жители ОАЭ получают фальшивые сообщения с просьбой срочно оплатить дорожные сборы, чтобы избежать дополнительных штрафов. Текстовые сообщения содержат сокращенный URL-адрес, чтобы скрыть настоящий фишинговый адрес. Как только пользователь нажимает на ссылку, он перенаправляется на поддельную платежную страницу. Цель мошенников — скомпрометировать платёжные данные пользователей. Кампания активна как минимум с 15 апреля 2023 года.

Вторая кампания была запущена 29 апреля. Мошенники использовали те же серверы для размещения другой сети фишинговых сайтов, но подражали почтовому оператору ОАЭ, а доставка ссылок на фишинговые ресурсы велась путём рассылки SMS. Текстовые сообщения отправлены с телефонных номеров, зарегистрированных в Малайзии и Таиланде, а также по адресам электронной почты через iMessage. Эта схема была обнаружена в отношении клиентов нескольких телекоммуникационных компаний ОАЭ.

URL-адреса из текстов ведут на поддельные платёжные страницы, на которых запрашиваются личные данные, такие как имя, адрес и информация о кредитной карте. Фишинговые страницы используют официальное название и логотип реального поставщика почтовых услуг.

Эксперты Group-IB отмечают, что фишинговые сайты используют методы контроля доступа, чтобы избежать автоматического обнаружения и блокировки. Доступ к страницам возможен только с IP-адресов в ОАЭ.

Безопасники приписали обе кампании китайско-язычной фишинговой сети, получившей кодовое название Postal Furious в начале 2023 года. Группировка действует, по крайней мере, с 2021-го. Она способна быстро создавать и менять крупные сетевые инфраструктуры, чтобы избежать обнаружения средствами безопасности.

Фишинговые ресурсы, которые работали в ОАЭ, имеют много общих элементов и кода, которые присутствуют в кампаниях Postal Furious, нацеленных на Азиатско-Тихоокеанский регион. Исходный код фишинговых сайтов, использованных в Арабских Эмиратах, содержал комментарии, написанные на упрощённом китайском языке, которые ранее были выявлены исследователями Group-IB во время изучения деятельности Postal Furious. Эксперты подчеркивают, что группировка каждый день регистрирует новые фишинговые домены, чтобы расширить свою деятельность.

1 июня, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

27.09.2023
В правительстве разработали меры борьбы с нехваткой вычислительных мощностей для развития ИИ
27.09.2023
«Мы признаём, что работа в России несовместима со стратегией Binance»
27.09.2023
Кабмин подготовит новую Национальную стратегию в сфере инновационных технологий
27.09.2023
NCSC активно вовлекает компании в проведение учений по реагированию на ИБ-инциденты
27.09.2023
Искусственный интеллект: во благо и во вред
27.09.2023
Ашманов: Сейчас образовался пузырь искусственного интеллекта
27.09.2023
Со своей СБП к заграничным QR-кодам
27.09.2023
18% пользователей в России платят за ненужные подписки
26.09.2023
Sony отказывается платить выкуп взломщикам
26.09.2023
Держатели банковских карт всё чаще попадают в прицел кибермошенников

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных