Globális smishing infrastruktúra
A Hunt.io egy nagyszabású, globális smishing infrastruktúrát azonosított, amely legalább 19 országban működött összehangolt módon, és kormányzati portálokat, postai szolgáltatókat, telekommunikációs cégeket és fizetési rendszereket impersonált. A kampány kiindulópontja a román Ghișeul.ro állami fizetési portál nevével visszaélő SMS-phishing hullám volt, azonban az infrastruktúra-analízis gyorsan nemzetközi méretű műveletet tárt fel.
A kutatók Hunt.io crawler- és IP-intelligence adatbázis segítségével korrelálták a kampány elemeit. Az összefüggéseket egyedi JavaScript-fájlok, HTML-templatek, URL-struktúrák (/{language-code}/#/index) és közös backend infrastruktúra alapján azonosították. A művelet legalább 1628 rosszindulatú URL-t és 33 backend IP-címet használt, amelyek többek között Tencent Cloud, Alibaba Cloud, Cloudflare és moldovai VPS-infrastruktúrán futottak.
A kampány fő célja hitelesítő adatok, bankkártyaadatok és személyes információk megszerzése volt mobilra optimalizált phishing oldalak segítségével. A támadók AI-generált többnyelvű lure-öket alkalmaztak, amelyek lehetővé tették ugyanazon infrastruktúra gyors lokalizálását különböző országokra és szolgáltatókra. Ez jelentősen csökkenti a klasszikus smishing kampányok egyik korlátját: a nyelvi és kulturális lokalizáció szükségességét.
A célpontok között állami fizetési portálok, postai/logisztikai szolgáltatók és telekommunikációs vállalatok szerepeltek Európában, a Kaukázusban és az amerikai régióban. A támadási lánc tipikusan SMS-ben küldött linkkel indult, amely mobilon hitelesnek tűnő phishing oldalra irányította az áldozatot. Több kampányban megfigyeltek fizetési workflow-t, 2FA-adatgyűjtést és SIM-swap előkészítésre alkalmas adatlopást is.
