Un grupo de piratas informáticos chino conocido como "Fangxiao" está utilizando miles de dominios impostores para atacar a las víctimas en una campaña de phishing generalizada.
Miles en riesgo de la campaña de phishing de Fangxiao
Una campaña masiva de phishing operada por el grupo de hackers chino "Fangxiao" está poniendo en riesgo a miles de personas. Esta campaña ha utilizado 42.000 dominios impostores para facilitar los ataques de phishing. Estos dominios impostores están diseñados para redirigir a los usuarios a aplicaciones de adware (malware publicitario), obsequios y sitios de citas.
Cyjax, una empresa de soluciones de ciberseguridad y amenazas, descubrió los 42 000 dominios falsos utilizados en esta campaña. en un Publicación de blog de Cyjax por Emily Dennison y Alana Witten, la estafa fue descrita como sofisticada, con la capacidad de "explotar la reputación de marcas internacionales de confianza en múltiples verticales, incluidos el comercio minorista, la banca, los viajes, los productos farmacéuticos, los viajes y energía".
La estafa comienza con un mensaje malicioso de WhatsApp, en el que se suplanta una marca de confianza. Ejemplos de tales marcas incluyen Emirates, Coca-Cola, McDonald's y Unilever. Este mensaje proporciona al destinatario un enlace a una página web que tiene una sensación de atractivo. El sitio de redirección depende de la dirección IP del objetivo, así como de su agente de usuario.
Por ejemplo, McDonald's puede afirmar que ofrece un obsequio gratuito. Cuando la víctima completa su registro en el sorteo, la descarga de Triada Malware troyano se puede desencadenar. El malware también se puede instalar al descargar una aplicación específica, que se les pide a las víctimas que instalen para continuar participando en el sorteo.
Atacantes protegidos por CloudFlare
Cyjax señaló en su publicación de blog con respecto a esta campaña que la infraestructura de Fangxiao está protegida principalmente por CloudFlare, una red estadounidense de entrega de contenido (CDN). También se señaló que los dominios impostores se crearon en GoDaddy, Namecheap y Wix, y sus nombres se alternaban con frecuencia.
La mayoría de estos dominios de phishing se registraron con .top, y el resto se registró principalmente con .cn, .cyou, .xyz, .tech y .work.
El grupo Fangxiao no es nada nuevo
El grupo de hackers Fangxiao existe desde hace algún tiempo. Cyjax notó por primera vez los dominios que se utilizan en esta campaña en 2019 y han ido aumentando en número desde entonces. En octubre de 2022, Fangxiao agregó más de 300 dominios únicos en el espacio de un solo día.
No se ha confirmado al 100 % que el grupo tenga su sede en China, pero Cyjax ha determinado esta ubicación con un alto nivel de confianza. Un indicador de esto es el uso de mandarín en uno de los paneles de control expuestos del grupo. Cyjax también especuló que es probable que el objetivo de la campaña sea la ganancia monetaria.
Las campañas de phishing están en aumento
El phishing es una de las tácticas de ciberdelincuencia más populares que existen hoy en día y puede presentarse en una variedad de formas. Puede ser complicado detectar ataques de phishing, especialmente aquellos que son muy sofisticados. Los filtros de spam y los programas antivirus se pueden usar para mitigar los ataques de phishing, aunque aún es importante confiar en su instinto y evitar cualquier comunicación que no parezca del todo correcta.
