Um grupo de hackers chineses está aproveitando a confiança associada a marcas internacionais populares para golpes de phishing em larga escala, usando 42 mil domínios falsos.
De acordo com as informações do The Hacker News, o ator da ameaça, apelidado de Fangxiao por Cyjax, registrou mais de 42.000 domínios impostores, com atividade inicial observada em 2017.
“Ele tem como alvo empresas em vários segmentos verticais, incluindo varejo, bancos, viagens e energia”, disseram as pesquisadoras Emily Dennison e Alana Witten. “Incentivos financeiros ou físicos prometidos são usados para induzir as vítimas a espalhar ainda mais a campanha via WhatsApp”.
Hackers usam domínios impostores para ataques de phishing
Os usuários que clicam em um link enviado pelo aplicativo de mensagens são direcionados a um site controlado pelos hackers, que, por sua vez, os envia a um domínio de destino que se faz passar por uma marca conhecida, de onde as vítimas são novamente levadas a sites que distribuem aplicativos fraudulentos e recompensas falsas.
Esses sites solicitam que os visitantes preencham uma pesquisa para reivindicar prêmios em dinheiro, em troca da qual são solicitados a encaminhar a mensagem para cinco grupos ou 20 amigos. O redirecionamento final, no entanto, depende do endereço IP da vítima e da string User-Agent do navegador.
Organizações sendo imitadas no phishing
Mais de 400 organizações, incluindo Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald’s e Knorr, estão sendo imitadas como parte do esquema criminoso, disseram os pesquisadores. Como alternativa, observou-se que ataques em que anúncios móveis fraudulentos são clicados em um dispositivo Android culminam na implantação de um trojan móvel chamado Triada, que foi recentemente detectado se propagando por meio de aplicativos falsos do WhatsApp.
Não é apenas a Triada, pois outro destino da campanha é a listagem da Google Play Store de um aplicativo chamado “App Booster Lite – RAM Booster”, que tem mais de 10 milhões Transferências. O aplicativo, feito por um desenvolvedor da República Tcheca conhecido como LocoMind, é descrito como um “poderoso reforço de telefone”, “limpador de lixo inteligente” e um “economizador de bateria eficaz”.
As análises do aplicativo criticaram o editor por exibir muitos anúncios e até apontam que eles “chegaram aqui [a página da Play Store] de um daqueles anúncios ‘seu android está danificado x%'”. “Nosso aplicativo não pode espalhar vírus”, LocoMind respondeu à análise em 31 de outubro de 2022. “Cada uma de nossas atualizações é verificada pelo Google Play – eles teriam removido nosso aplicativo há muito tempo por esse motivo.”
Caso a mesma ação seja executada em um dispositivo com iOS, a vítima é redirecionada para a Amazon por meio de um link de afiliado, rendendo ao ator uma comissão por cada compra na plataforma de e-commerce feita nas próximas 24 horas.
Uma análise mais aprofundada dos certificados TLS emitidos para os domínios de pesquisa em 2021 e 2022 revela que a maior parte dos registros se sobrepõe ao fuso horário UTC+08:00, que corresponde ao horário padrão da China das 9:00 às 23:00.