Los actores de amenazas detrás de una campaña de smishing en curso a gran escalera se han atribuido a más de 194.000 dominios maliciosos desde el 1 de enero de 2024, dirigidos a una amplia abanico de servicios en todo el mundo, según nuevos hallazgos de la Pelotón 42 de Palo Stop Networks.
“Aunque estos dominios están registrados a través de un registrador con sede en Hong Kong y utilizan servidores de nombres chinos, la infraestructura de ataque se aloja principalmente en populares servicios de nubarrón estadounidenses”, dijeron los investigadores de seguridad Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi y Moe Ghasemisharif.
La actividad ha sido atribuida a un montón vinculado a China conocido como Tríada apabullanteque se sabe que inunda los dispositivos móviles con violaciones de peajes fraudulentas y avisos de entrega errónea para engañar a los usuarios para que tomen medidas inmediatas y proporcionen información confidencial.
Estas campañas han demostrado ser lucrativas y han permitido a los actores de amenazas aventajar más de mil millones de dólares en los últimos tres abriles, según un mensaje fresco de The Wall Street Journal.
En un mensaje publicado a principios de esta semana, Fortra dijo que los kits de phishing asociados con Smishing Triad se están utilizando cada vez más para atacar cuentas de corretaje para obtener credenciales bancarias y códigos de autenticación, y los ataques dirigidos a estas cuentas se quintuplicaron en el segundo trimestre de 2025 en comparación con el mismo período del año pasado.
“Una vez comprometidos, los atacantes manipulan los precios del mercado de títulos utilizando tácticas de ‘rampa y descarga'”, dijo el investigador de seguridad Alexis Ober. “Estos métodos casi no dejan rastros documentales, lo que aumenta aún más los riesgos financieros que surgen de esta amenaza”.
Se dice que el colectivo adversario ha evolucionado de un proveedor dedicado de kits de phishing a una “comunidad mucho activa” que reúne a actores de amenazas dispares, cada uno de los cuales desempeña un papel crucial en el ecosistema de phishing como servicio (PhaaS).
Esto incluye desarrolladores de kits de phishing, intermediarios de datos (que venden números de teléfono de destino), vendedores de dominios (que registran dominios desechables para introducir los sitios de phishing), proveedores de alojamiento (que proporcionan servidores), spammers (que entregan los mensajes a las víctimas a escalera), escáneres de vida (que validan los números de teléfono) y escáneres de listas de incomunicación (que comparan los dominios de phishing con listas de incomunicación conocidas para su rotación).
 |
| El ecosistema PhaaS de Smishing Triad |
El prospección de la Pelotón 42 ha revelado que casi 93.200 de los 136.933 dominios raíz (68,06%) están registrados bajo Dominet (HK) Limited, un registrador con sede en Hong Kong. Los dominios con el prefijo “com” representan una importante mayoría, aunque se ha producido un aumento en el registro de dominios “gov” en los últimos tres meses.
De los dominios identificados, 39.964 (29,19%) estuvieron activos durante dos días o menos, el 71,3% de ellos estuvieron activos durante menos de una semana, el 82,6% de ellos estuvieron activos durante dos semanas o menos y menos del 6% tuvieron una vida útil más allá de los primeros tres meses de su registro.
“Esta rápida rotación demuestra claramente que la organización de la campaña se pedestal en un ciclo continuo de dominios recién registrados para escamotear la detección”, señaló la compañía de ciberseguridad, agregando los 194,345 nombres de dominio completos (FQDN) utilizados en la resolución a hasta 43,494 direcciones IP únicas, la mayoría de las cuales están en los EE. UU. y alojadas en Cloudflare (AS13335).
Algunos de los otros aspectos destacados del prospección de infraestructura se encuentran a continuación:
- El Servicio Postal de EE. UU. (USPS) es el servicio más suplantado con 28.045 FQDN.
- Las campañas que utilizan señuelos de servicios de peaje son la categoría más suplantada, con aproximadamente de 90.000 FQDN de phishing dedicados.
- La infraestructura de ataque a los dominios que generan el maduro prominencia de tráfico se encuentra en Estados Unidos, seguido de China y Singapur.
- Las campañas han imitado a bancos, casas de cambio de criptomonedas, servicios de correo y entrega, fuerzas policiales, empresas estatales, peajes electrónicos, aplicaciones de uso compartido de vehículos, servicios hoteleros, redes sociales y plataformas de comercio electrónico en Rusia, Polonia y Lituania.
En las campañas de phishing que se hacen ocurrir por servicios gubernamentales, los usuarios a menudo son redirigidos a páginas de destino que reclaman peajes y otros cargos por servicios no pagados, y en algunos casos incluso aprovechan los señuelos ClickFix para engañarlos y ejecutar código solapado con el pretexto de completar una comprobación CAPTCHA.
“La campaña de smishing que se hace ocurrir por los servicios de peaje estadounidenses no es un caso accidental”, afirmó la Pelotón 42. “Es más correctamente una campaña a gran escalera con ámbito total, que se hace ocurrir por muchos servicios en diferentes sectores. La amenaza está mucho descentralizada. Los atacantes registran y revisan miles de dominios diariamente”.
