Dark Atlas: фишинговые кампании Smishing Triad расширяются, охватывая международные бренды и локальные сервисы
Изображение: recraft
Аналитики Dark Atlas зафиксировали рост масштабов фишинговых операций, проводимых группировкой Smishing Triad — китайскоязычной киберпреступной сетью, специализирующейся на массовых SMS-атаках. В рамках недавнего расследования было обнаружено множество новых доменов, маскирующихся под известные египетские компании, в том числе Fawry, Egypt Post и Careem.
Новые сайты, по данным специалистов, используются для мошеннического сбора личных данных и проведения целевых атак на физических лиц и бизнес-структуры. Выявленные домены становятся частью более широкой инфраструктуры, позволяющей атакующим подделывать локальные сервисы под видом авторитетных поставщиков услуг.
Исследование проводилось с применением анализа HTTP-заголовков и последующего поиска по индикаторам в базе Shodan. Этот метод позволил идентифицировать дополнительные активные ресурсы, среди которых страницы, маскирующиеся под UnionPay, TikTok и другие международные бренды. Особое внимание привлёк факт, что вся эта активность размещается внутри инфраструктуры AS132203, связанной с провайдером Tencent. Это свидетельствует о масштабной зависимости Triad от общих хостинг-решений.
Аналитики отмечают, что группировка активно использует Telegram для продвижения своих «услуг» — фишинговых наборов, оформленных по модели «фишинг как услуга» (PhaaS). На одном из старых каналов было обнаружено видео от пользователя под псевдонимом «wangduoyu8», где демонстрируется готовый набор шаблонов. Эти комплекты автоматически разворачиваются на удалённых серверах, позволяя быстро адаптировать фишинговые страницы под целевую аудиторию в нужном регионе.
