Se cree que los atacantes detrás de una campaña de smishing en curso a gran escala han participado en más de 194.000 dominios maliciosos dirigidos a una amplia gama de servicios en todo el mundo desde el 1 de enero de 2024, según una nueva investigación de la Unidad 42 de Palo Alto Networks.
Los investigadores de seguridad Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi y Moe Ghasemisharif dijeron: «Aunque estos dominios están registrados a través de un registrador con sede en Hong Kong y utilizan servidores de nombres chinos, la infraestructura de ataque se aloja principalmente en servicios de nube populares en los Estados Unidos».
La actividad se atribuyó a un grupo vinculado a China conocido como Smishing Triad, conocido por bombardear dispositivos móviles con notificaciones fraudulentas de violaciones de peajes y entregas erróneas para engañar a los usuarios para que tomen medidas inmediatas o proporcionen información confidencial.
Según un informe reciente del Wall Street Journal, estas campañas han demostrado ser lucrativas y han permitido a los atacantes ganar más de mil millones de dólares en los últimos tres años.
En un informe publicado a principios de esta semana, Fortra dijo que los kits de phishing asociados con Smishing Triad se utilizan cada vez más para apuntar a cuentas de corretaje para obtener credenciales bancarias y códigos de autenticación, y los ataques dirigidos a estas cuentas se han multiplicado por cinco en el segundo trimestre de 2025 en comparación con el mismo período del año pasado.
«Una vez comprometidos, los atacantes utilizan tácticas de ‘rampa y descarga’ para manipular los precios de las acciones», dijo el investigador de seguridad Alexis Ober. «Estos métodos dejan pocos rastros documentales, lo que aumenta aún más el riesgo económico que plantea esta amenaza».
Se dice que el grupo adversario ha pasado de ser un proveedor especializado de kits de phishing a una «comunidad muy activa» de atacantes dispares, cada uno de los cuales desempeña un papel clave en el ecosistema de phishing como servicio (PhaaS).
Estos incluyen desarrolladores de kits de phishing, corredores de datos (que venden números de teléfono de destino), vendedores de dominios (que registran dominios desechables para alojar sitios de phishing), proveedores de alojamiento (que proporcionan servidores), spammers (que entregan mensajes a las víctimas a escala), escáneres de vida (que verifican números de teléfono) y escáneres de listas de bloqueo (que comparan dominios de phishing con listas de bloqueo conocidas para su rotación).
Ecosistema PhaaS de Smishing Triad
El análisis de la Unidad 42 reveló que casi 93.200 (68,06%) de los 136.933 dominios raíz estaban registrados en Dominet (HK) Limited, un registrador con sede en Hong Kong. Los dominios con el prefijo «com» constituyen la mayoría, pero en los últimos tres meses se ha observado un aumento en los registros de dominios «gov».
De los dominios identificados, 39.964 (29,19%) estuvieron activos durante menos de 2 días, de los cuales el 71,3% estuvieron activos durante menos de 1 semana, el 82,6% estuvieron activos durante menos de 2 semanas y menos del 6% de los dominios sobrevivieron más allá de los primeros 3 meses de registro.
«Esta rápida rotación demuestra claramente que la estrategia de la campaña se basa en un ciclo continuo de dominios recién registrados para evadir la detección», señala la firma de ciberseguridad, agregando los 194,345 nombres de dominio completos (FQDN) utilizados en la resolución a 43,494 direcciones IP únicas, la mayoría de las cuales están ubicadas en los Estados Unidos y alojadas en Cloudflare (AS13335).
Algunos de los otros aspectos importantes del análisis de infraestructura son:
El Servicio Postal de los Estados Unidos (USPS) es el servicio individual más suplantado con 28.045 FQDN. Las campañas que utilizan señuelos de servicios pagos son la categoría más falsificada, con aproximadamente 90.000 FQDN específicos de phishing. La infraestructura de ataque a los dominios que generan más tráfico se encuentra en Estados Unidos, seguido de China y Singapur. La campaña imita a los bancos, las casas de cambio virtuales, los servicios postales y de entrega, las fuerzas policiales, las empresas estatales, las cabinas de peaje electrónico, las aplicaciones de viajes compartidos, los servicios hoteleros, las redes sociales y las plataformas de comercio electrónico en Rusia, Polonia y Lituania.
Las campañas de phishing que se hacen pasar por servicios gubernamentales a menudo redirigen a los usuarios a páginas de destino que cobran peajes u otras tarifas de servicios no pagados y, en algunos casos, utilizan el atractivo de ClickFix para ejecutar código malicioso con el pretexto de completar una verificación CAPTCHA.
«Esta campaña de burlas que se hace pasar por un servicio de peaje de Estados Unidos no es un caso aislado», dijo la Unidad 42. «En cambio, se trata de una campaña masiva extendida por todo el mundo, que se hace pasar por muchos servicios en una variedad de sectores. La amenaza está muy distribuida. Los atacantes registran miles de dominios y se mueven de un lado a otro todos los días».
Source link
