Um grupo de hackers chinês conhecido como "Fangxiao" está usando milhares de domínios impostores para atingir as vítimas em uma ampla campanha de phishing.
Milhares em risco de campanha de phishing Fangxiao
Uma campanha massiva de phishing operada pelo grupo de hackers chinês "Fangxiao" está colocando milhares de pessoas em risco. Esta campanha usou 42.000 domínios impostores para facilitar ataques de phishing. Esses domínios impostores são projetados para redirecionar os usuários para aplicativos de adware (malware de publicidade), brindes e sites de namoro.
Cyjax, uma empresa de soluções de cibersegurança e ameaças, descobriu os 42.000 domínios falsos usados nesta campanha. Em um postagem no blog Cyjax por Emily Dennison e Alana Witten, o golpe foi descrito como sofisticado, com a capacidade de "explorar a reputação de marcas internacionais e confiáveis em vários setores, incluindo varejo, bancos, viagens, produtos farmacêuticos, viagens e energia".
O golpe começa com um mensagem maliciosa do WhatsApp, em que uma marca confiável é representada. Exemplos de tais marcas incluem Emirates, Coca-Cola, McDonald's e Unilever. Esta mensagem fornece ao destinatário um link para uma página da Web que dá uma sensação de fascínio. O site de redirecionamento depende do endereço IP do alvo, bem como de seu agente de usuário.
Por exemplo, o McDonald's pode estar alegando fazer uma oferta gratuita. Quando a vítima concluir seu cadastro no sorteio, o download da Triada Trojan malware pode ser acionado. O malware também pode ser instalado após o download de um aplicativo específico, que as vítimas devem instalar para continuar participando do sorteio.
Atacantes protegidos por CloudFlare
A Cyjax observou em seu post de blog sobre esta campanha que a infraestrutura de Fangxiao é protegida principalmente por CloudFlare, uma American Content Delivery Network (CDN). Também foi observado que os domínios impostores foram criados no GoDaddy, Namecheap e Wix, com seus nomes sendo alternados com frequência.
A maioria desses domínios de phishing foi registrada com .top, sendo o restante registrado principalmente com .cn, .cyou, .xyz, .tech e .work.
O grupo Fangxiao não é novidade
O grupo de hackers Fangxiao já existe há algum tempo. Os domínios usados nesta campanha foram notados pela primeira vez pela Cyjax em 2019 e têm aumentado em número desde então. Em outubro de 2022, mais de 300 domínios exclusivos foram adicionados por Fangxiao no espaço de apenas um dia.
O grupo não está 100% confirmado como baseado na China, mas a Cyjax determinou esta localização com um alto nível de confiança. Um indicador disso é o uso do mandarim em um dos painéis de controle expostos do grupo. Cyjax também especulou que o objetivo da campanha provavelmente será o ganho monetário.
As campanhas de phishing estão em alta
O phishing é uma das táticas de cibercrime mais populares atualmente e pode ocorrer de várias formas. Pode ser complicado detectar ataques de phishing, especialmente aqueles altamente sofisticados. Filtros de spam e programas antivírus podem ser usados para mitigar ataques de phishing, embora ainda seja importante confiar em seu instinto e evitar qualquer comunicação que não pareça correta.
