Kitajska hekerska skupina, znana kot "Fangxiao", uporablja na tisoče prevarantskih domen za ciljanje na žrtve v razširjeni kampanji lažnega predstavljanja.
Na tisoče v nevarnosti kampanje lažnega predstavljanja Fangxiao
Ogromna kampanja lažnega predstavljanja, ki jo vodi kitajska hekerska skupina "Fangxiao", ogroža na tisoče ljudi. Ta kampanja je uporabila 42.000 prevarantskih domen za olajšanje napadov lažnega predstavljanja. Te prevarantske domene so zasnovane tako, da uporabnike preusmerijo na aplikacije z oglaševalsko programsko opremo (zlonamerna programska oprema za oglaševanje), darila in spletna mesta za zmenke.
Cyjax, podjetje za kibernetsko varnost in rešitve za grožnje, je odkrilo 42.000 lažnih domen, uporabljenih v tej kampanji. V Objava v blogu Cyjax Emily Dennison in Alana Witten je bila prevara opisana kot prefinjena, z možnostjo "izkoriščanja ugleda mednarodnih, zaupanja vrednih blagovnih znamk v več vertikalah, vključno s prodajo na drobno, bančništvom, potovanji, farmacevtskimi izdelki, potovanji in energija".
Prevara se začne z zlonamerno sporočilo WhatsApp, kjer se predstavlja zaupanja vredna blagovna znamka. Primeri takih blagovnih znamk so Emirates, Coca-Cola, McDonald's in Unilever. To sporočilo prejemniku zagotovi povezavo do spletne strani, ki ji daje občutek privlačnosti. Spletno mesto za preusmeritev je odvisno od naslova IP cilja in njegovega uporabniškega agenta.
Na primer, McDonald's morda trdi, da ponuja brezplačno nagradno igro. Ko žrtev zaključi svojo registracijo v nagradni igri, sledi prenos Triade Trojanska zlonamerna programska oprema se lahko sproži. Zlonamerna programska oprema se lahko namesti tudi ob prenosu določene aplikacije, ki jo morajo žrtve namestiti, da lahko še naprej sodelujejo v nagradni igri.
Napadalci zaščiteni z CloudFlare
Cyjax je v svoji objavi na spletnem dnevniku o tej kampanji opozoril, da infrastrukturo Fangxiao večinoma ščiti CloudFlare, ameriško omrežje za dostavo vsebin (CDN). Ugotovljeno je bilo tudi, da so bile prevarantske domene ustvarjene na GoDaddy, Namecheap in Wix, njihova imena pa so se pogosto menjavala.
Večina teh lažnih domen je bila registrirana z .top, preostale pa so bile večinoma registrirane z .cn, .cyou, .xyz, .tech in .work.
Skupina Fangxiao ni nič novega
Hekerska skupina Fangxiao obstaja že nekaj časa. Domene, ki se uporabljajo v tej kampanji, je Cyjax prvič opazil leta 2019 in od takrat njihovo število narašča. Oktobra 2022 je Fangxiao dodal več kot 300 edinstvenih domen v samo enem dnevu.
Ni 100-odstotno potrjeno, da ima skupina sedež na Kitajskem, vendar je Cyjax to lokacijo določil z visoko stopnjo zaupanja. Eden od pokazateljev tega je uporaba mandarinščine v eni od izpostavljenih nadzornih plošč skupine. Cyjax je tudi ugibal, da je cilj kampanje verjetno denarni dobiček.
Kampanje lažnega predstavljanja so v porastu
Lažno predstavljanje je danes ena najbolj priljubljenih taktik kibernetske kriminalitete in se lahko pojavi v različnih oblikah. Napade lažnega predstavljanja je lahko težko odkriti, zlasti tiste, ki so zelo sofisticirani. Filtri za neželeno pošto in protivirusni programi se lahko uporabljajo za ublažitev napadov lažnega predstavljanja, čeprav je še vedno pomembno, da zaupate svojemu občutku in se izogibate kakršni koli komunikaciji, ki se ne zdi povsem pravilna.