Clicky

Hackers chinos utilizan 42.000 dominios impostores en una campaña masiva de ataques de phishing

campaña de phishing Fangxiao

Engañan a las víctimas para que sigan difundiendo la campaña a través de WhatsApp

Están siendo imitadas más de 400 organizaciones, incluidas Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald's y Knorr

Un grupo motivado financieramente con sede en China está aprovechando la confianza asociada con populares marcas internacionales para orquestar una campaña de phishing a gran escala que data de 2019.

Se dice que el actor de amenazas, apodado Fangxiao por Cyjax, registró más de 42.000 dominios impostores, con una actividad inicial observada en 2017.

"Se dirige a negocios en múltiples sectores, incluidos el comercio minorista, la banca, los viajes y la energía", dijeron las investigadoras Emily Dennison y Alana Witten. "Los incentivos financieros o físicos prometidos se utilizan para engañar a las víctimas para que sigan difundiendo la campaña a través de WhatsApp".

Los usuarios que hacen clic en un enlace enviado a través de la aplicación de mensajería son dirigidos a un sitio controlado por el actor que, a su vez, los envía a un dominio de destino que se hace pasar por una conocida marca, desde donde las víctimas son nuevamente conducidas a sitios que distribuyen aplicaciones fraudulentas y recompensas falsas.

Estos sitios invitan a los visitantes a completar una encuesta para reclamar premios en efectivo, a cambio de lo cual se les pide que reenvíen el mensaje a cinco grupos o 20 amigos de WhatsApp. Sin embargo, la redirección final depende de la dirección IP de la víctima y la cadena de agente de usuario del navegador.

fangxiao phishing

Más de 400 organizaciones, incluidas Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald's y Knorr, están siendo imitadas como parte del esquema criminal, dijeron los investigadores.

Alternativamente, se ha observado que los ataques en los que se hace clic en anuncios móviles fraudulentos desde un dispositivo Android culminan en la implementación de un troyano móvil llamado Triada, que recientemente se detectó propagándose a través de falsas aplicaciones de WhatsApp.

No es solo Triada, ya que otro destino de la campaña es la lista de Google Play Store de una aplicación llamada "App Booster Lite - RAM Booster" (com.app.booster.lite.phonecleaner.batterysaver.cleanmaster), que tiene más de 10 millones descargas.

La aplicación, creada por un desarrollador con sede en Chequia conocido como LocoMind, se describe como un "Potente refuerzo de teléfono", "Limpiador de chatarra inteligente" y un "Ahorrador de batería efectivo".

Las revisiones de la aplicación han llamado al editor por mostrar demasiados anuncios, e incluso señalan que "Llegaron aquí [la página de Play Store] desde uno de esos anuncios 'su Android está dañado x%'".

fangxiao enlaces

"Nuestra aplicación no puede propagar virus", respondió LocoMind a la revisión el 31 de octubre de 2022. "Google Play verifica cada una de nuestras actualizaciones; habrían eliminado nuestra aplicación hace mucho tiempo por este motivo".

Si se realiza la misma acción desde un dispositivo con iOS, la víctima es redirigida a Amazon a través de un enlace de afiliado, lo que le otorga al actor una comisión por cada compra en la plataforma de comercio electrónico realizada durante las próximas 24 horas.

Las conexiones chinas del actor de amenazas se derivan de la presencia de texto en mandarín en un servicio web asociado con aaPanel, un panel de control de código abierto basado en Python para alojar múltiples sitios web.

Un análisis más detallado de los certificados TLS emitidos para los dominios de la encuesta en 2021 y 2022 revela que la mayor parte de los registros se superponen con la zona horaria UTC+08:00, que corresponde a la hora estándar de China de 9:00 a. m. a 11:00 p. m.

"Los operadores tienen experiencia en la ejecución de este tipo de campañas impostoras, están dispuestos a ser dinámicos para lograr sus objetivos y son técnica y logísticamente capaces de escalar para expandir su negocio", dijeron los investigadores.

"Las campañas de Fangxiao son métodos efectivos de generación de clientes potenciales que se han redirigido a varios dominios, desde malware hasta enlaces de referencia, anuncios y adware".

Jesus_Caceres