GRAN CAMPAÑA DE PHISHING

Una campaña masiva de phishing operada por el grupo de ciberdelincuentes chinos “Fangxiao” está poniendo en riesgo a miles de personas. Esta campaña ha utilizado 42.000 dominios impostores para facilitar los ataques de phishing. Estos dominios impostores están diseñados para redirigir a los usuarios a aplicaciones de adware (malware publicitario), obsequios y sitios de citas.

Cyjax, una empresa de soluciones de ciberseguridad y amenazas, descubrió los 42 000 dominios falsos utilizados en esta campaña. En una publicación de blog de Cyjax de Emily Dennison y Alana Witten, la estafa se describió como sofisticada, con la capacidad de “explotar la reputación de marcas internacionales confiables en múltiples verticales, incluidos el comercio minorista, la banca, los viajes, los productos farmacéuticos, los viajes y la energía”.

La estafa comienza con un mensaje de WhatsApp malicioso , en el que se suplanta una marca de confianza. Ejemplos de tales marcas incluyen Emirates, Coca-Cola, McDonald’s y Unilever. Este mensaje proporciona al destinatario un enlace a una página web que tiene una sensación de atractivo. El sitio de redirección depende de la dirección IP del objetivo, así como de su agente de usuario.

Por ejemplo, McDonald’s puede afirmar que ofrece un obsequio gratuito. Cuando la víctima completa su registro en el sorteo, se puede activar la descarga del malware troyano Triada. El malware también se puede instalar al descargar una aplicación específica, que se les pide a las víctimas que instalen para continuar participando en el sorteo.

Cyjax señaló en su publicación de blog con respecto a esta campaña que la infraestructura de Fangxiao está protegida principalmente por CloudFlare, una red estadounidense de entrega de contenido (CDN). También se señaló que los dominios impostores se crearon en GoDaddy, Namecheap y Wix, y sus nombres se alternaban con frecuencia.

La mayoría de estos dominios de phishing se registraron con .top, y el resto se registró principalmente con .cn, .cyou, .xyz, .tech y .work.

El grupo de ciberdelincuentes Fangxiao existe desde hace algún tiempo. Cyjax notó por primera vez los dominios que se utilizan en esta campaña en 2019 y han ido aumentando en número desde entonces. En octubre de 2022, Fangxiao agregó más de 300 dominios únicos en el espacio de un solo día.

Fuente: Cyjax