Китайская группировка расширила свою деятельность на Ближний Восток

Компания Group-IB сообщает о новой волне мошенничества хакерской группировки, говорящей по-китайски и выдающей себя за государственные органы ОАЭ. Деятельность группировки, получившей название Postal Furious, была впервые задокументирована безопасниками в этом апреле.

Тогда её целью были пользователи Азиатско-Тихоокеанского региона. Хакеры выдавали себя за почтовые компании и операторов междугородной связи. Теперь Group-IB установила, что группировка расширила свою деятельность на ОАЭ.

В начале мая власти ОАЭ предупредили жителей страны о мошеннической кампании, в ходе которой злоумышленники выдавали себя за местного оператора дорожных сборов. Вторая мошенническая схема работала под видом почтовой службы. Центр сопротивления цифровым преступлениям Group-IB в Дубае смог причислить эту кампанию к деятельности Postal Furious.

Согласно данным расследования, жители ОАЭ получают фальшивые сообщения с просьбой срочно оплатить дорожные сборы, чтобы избежать дополнительных штрафов. Текстовые сообщения содержат сокращенный URL-адрес, чтобы скрыть настоящий фишинговый адрес. Как только пользователь нажимает на ссылку, он перенаправляется на поддельную платежную страницу. Цель мошенников — скомпрометировать платёжные данные пользователей. Кампания активна как минимум с 15 апреля 2023 года.

Вторая кампания была запущена 29 апреля. Мошенники использовали те же серверы для размещения другой сети фишинговых сайтов, но подражали почтовому оператору ОАЭ, а доставка ссылок на фишинговые ресурсы велась путём рассылки SMS. Текстовые сообщения отправлены с телефонных номеров, зарегистрированных в Малайзии и Таиланде, а также по адресам электронной почты через iMessage. Эта схема была обнаружена в отношении клиентов нескольких телекоммуникационных компаний ОАЭ.

URL-адреса из текстов ведут на поддельные платёжные страницы, на которых запрашиваются личные данные, такие как имя, адрес и информация о кредитной карте. Фишинговые страницы используют официальное название и логотип реального поставщика почтовых услуг.

Эксперты Group-IB отмечают, что фишинговые сайты используют методы контроля доступа, чтобы избежать автоматического обнаружения и блокировки. Доступ к страницам возможен только с IP-адресов в ОАЭ.

Безопасники приписали обе кампании китайско-язычной фишинговой сети, получившей кодовое название Postal Furious в начале 2023 года. Группировка действует, по крайней мере, с 2021-го. Она способна быстро создавать и менять крупные сетевые инфраструктуры, чтобы избежать обнаружения средствами безопасности.

Фишинговые ресурсы, которые работали в ОАЭ, имеют много общих элементов и кода, которые присутствуют в кампаниях Postal Furious, нацеленных на Азиатско-Тихоокеанский регион. Исходный код фишинговых сайтов, использованных в Арабских Эмиратах, содержал комментарии, написанные на упрощённом китайском языке, которые ранее были выявлены исследователями Group-IB во время изучения деятельности Postal Furious. Эксперты подчеркивают, что группировка каждый день регистрирует новые фишинговые домены, чтобы расширить свою деятельность.

1 июня, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных