Los investigadores de ciberseguridad advierten una campaña de phishing SMS “generalizada y continua” que ha estado dirigida a los usuarios de Toll Road en los Estados Unidos para el robo financiero desde mediados de octubre de 2024.
“Los ataques de amenaza de Strishing Road están siendo llevados a lado por múltiples actores de amenaza de motivación financiera que utilizan el kit de amordazos desarrollado por ‘Wang Duo Yu'”, los investigadores de Cisco Talos Azim Khodjibaev, Chetan Raghuprasad y Joey Chen evaluaron con confianza moderada.
Las campañas de phishing, según la compañía, se hacen advenir por sistemas de monasterio de peajes electrónicos de EE. UU. Como E-ZPass, envían mensajes de SMS e iMessage de Apple a personas en Washington, Florida, Pensilvania, Virginia, Texas, Ohio, Illinois y Kansas sobre un peaje no pagado y haciendo clic en un enlace infiel enviado en el chat.
Vale la pena señalar que algunos aspectos de la campaña de phishing de peaje fueron destacados previamente por el periodista de seguridad Brian Krebs en enero de 2025, con la actividad remontada a un servicio de phishing SMS con sede en China llamado Lighthouse que se anuncia en Telegram.
Mientras que Apple iMessage desactiva automáticamente los enlaces en mensajes recibidos de remitentes desconocidos, los textos de amordazos instan a los destinatarios a objetar con “y” para activar el enlace, una táctica observada en kits de phishing como Darcula y Xiū Gǒu.
Si la víctima hace clic en el enlace y visite el dominio, se les solicita que resuelva un desafío CaptCha basado en imágenes falsos, posteriormente de lo cual se redirigen a una página falsa de E-ZPass (por ejemplo, “EZP-VA (.lcom” o “E-ZPass (.) Com-Etcjr (.) Xin”) donde se les pide que ingresen su nombre y código ZIP para lograr a la realización.
Luego se les pide a los objetivos que continúen más allá para realizar el plazo en otra página fraudulenta, momento en el cual toda la información personal y financiera ingresada se desvía a los actores de amenazas.
Talos señaló que los actores de múltiples amenazas están operando las campañas de stepador de carreteras de peaje al hacer uso de un kit de phishing desarrollado por el dúo de Wang Yu, y que ha observado kits de amordazos similares utilizados por otro reunión de delito cibernético chino conocido como la tríada de amordazos.
Curiosamente, el dúo de Wang Yu todavía se alega que es el creador de los kits de phishing utilizados por la tríada de amordazos, según el investigador de seguridad Grant Smith. “El creador es un estudiante contemporáneo de informática en China que está utilizando las habilidades que está aprendiendo a hacer un centavo suficiente paralelo”, reveló Smith en un amplio prospección en agosto de 2024.
La tríada de Smishing es conocida por realizar ataques de amordazos a gran escalera dirigidos a los servicios postales en al menos 121 países, utilizando señuelos de entrega de paquetes fallidos para obtener a los destinatarios de mensajes para que haga clic en enlaces falsos que solicitan su información personal y financiera bajo la apariencia de una supuesta tarifa de servicio para la pertenencia a la entrega.
Adicionalmente, los actores de amenaza que usan estos kits han intentado inscribir los detalles de la maleable de las víctimas en una billetera móvil, lo que les permite cobrar aún más sus fondos a escalera utilizando una técnica conocida como Ghost Tap.
Asimismo se ha enemigo que los kits de phishing se encuentran traseros en que la información de la maleable de crédito/débito capturada todavía se exfiltran a los creadores, una técnica conocida como doble robo.
“El dúo de Wang Yu ha creado y diseñado kits de smishing específicos y ha estado vendiendo entrada a estos kits en sus canales de telegrama”, dijo Talos. “Los kits están disponibles con diferentes opciones de infraestructura, con un precio de US $ 50 cada uno para un crecimiento de funciones completa, $ 30 cada uno para el crecimiento de proxy (cuando el cliente tiene un dominio personal y un servidor), $ 20 cada uno para actualizaciones de traducción y $ 20 para todos los demás soporte misceláneo”.
A partir de marzo de 2025, se cree que el reunión de delitos electrónicos ha centrado sus esfuerzos en un nuevo kit de phishing de faro que está dirigido a la cosecha de credenciales de bancos y organizaciones financieras en Australia y la región de Asia-Pacífico, según Silent Push.
Los actores de amenaza todavía afirman tener “más de 300 personal de recibo en todo el mundo” para apoyar varios aspectos del fraude y los esquemas de efectivo asociados con el kit de phishing.
“Spondeando Tríada todavía está vendiendo sus kits de phishing a otros actores de amenazas alineados maliciosamente a través de Telegram y probablemente otros canales”, dijo la compañía. “Estas ventas hacen que sea difícil atribuir los kits a cualquier subgrupo, por lo que los sitios se atribuyen actualmente aquí bajo el paraguas de tríada de Smithing”.
En un noticia publicado el mes pasado, ProDaft reveló que Lighthouse comparte superposiciones tácticas con kits de phishing como Lucid y Darcula, y que opera independientemente del reunión Xinxin, el reunión cibernético detrás del kit lúcido. La compañía de ciberseguridad suiza está rastreando el dúo Wang Yu (todavía conocido como Lao Wang) como Oruga-241.
“Un prospección de los ataques realizados utilizando los paneles lúcidos y Darcula reveló que Lighthouse (dúo de Lao Wang / Wang Yu) comparte similitudes significativas con el reunión de xinxina en términos de orientación, páginas de destino y patrones de creación de dominios”, señaló Productaft.
La empresa de seguridad cibernética Resecurity, que fue la primera en documentar la tríada de amordazamiento en 2023 y todavía ha estado rastreando las campañas de peaje de estafa, dijo que el sindicato de amordazos ha utilizado más de 60,000 nombres de dominio, lo que hace que sea desafiante para Apple y Google para encerrar la actividad fraudulenta de forma efectiva.
“El uso de servicios de SMS a copioso subterráneo permite a los ciberdelincuentes ascender sus operaciones, dirigiendo a millones de usuarios simultáneamente”, dijo ReseCurity. “Estos servicios permiten a los atacantes destinar eficientemente miles o millones de mensajes de IM fraudulentos, dirigidos a usuarios individualmente o grupos de usuarios basados en datos demográficos específicos en varias regiones”.
