СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.10.2025
#ИБ#Инфра#Облака

Smishing Triad: PhaaS-кампания с доменами Dominet и фишингом по SMS

Smishing Triad: PhaaS-кампания с доменами Dominet и фишингом по SMS

Источник: unit42.paloaltonetworks.com

Продолжающаяся кампания smishing, относящаяся к Smishing Triad, представляет собой значительную эволюцию фишинга через SMS. Злоумышленники используют сложную, динамичную инфраструктуру и подпольные сервисы «фишинг как услуга» (PhaaS), чтобы массово маскировать мошеннические уведомления под легитимные сообщения — от предупреждений о нарушениях правил взимания платы за проезд до информации о неправильно доставленных посылках.

Ключевые факты

  • Кампания выдает себя за широкий спектр критически важных сервисов и организаций в разных секторах и странах, что расширяет её географический охват.
  • Подпольная экосистема PhaaS консолидируется вокруг Telegram-канала, который эволюционировал из рынка наборов для фишинга в активный центр для злоумышленников.
  • Регистрация доменов сконцентрирована: 68,06% (93 197) доменов зарегистрированы у регистратора Dominet (HK) Limited. Другие крупные регистраторы — Namesilo (11,85%) и Gname (7,94%).
  • Более 80% полных доменных имен (FQDNs) обслуживаются всего двумя провайдерами DNS: AliDNS и Cloudflare.
  • По целям кампании лидирует Почтовая служба США — зафиксировано 28 045 FQDNs, а категория платных сервисов содержит почти 90 000 выделенных доменов для фишинга.

Структура инфраструктуры и оперативные особенности

Анализ показывает оптимизированную и централизованную регистрацию доменов при при этом децентрализованной операционной модели: злоумышленники быстро регистрируют большое количество доменов и ежедневно «прокручивают» тысячи FQDNs. Такая модель позволяет быстро заменять заблокированные ресурсы, поддерживая длительное и масштабное распространение мошеннических SMS.

«Кампания по smishing не только широко распространена, но и в высшей степени децентрализована: злоумышленники быстро регистрируются и ежедневно просматривают тысячи доменов.»

Тактики и цели атак

Smishing Triad использует разнообразные методы для повышения правдоподобия атак:

  • Имперсонация (Impersonation) коммерческих и государственных организаций — от банков и почтовых служб до государственных ведомств.
  • Typosquatting — регистрация доменов с опечатками популярных приложений и площадок для обмана пользователей и перехвата трафика.
  • Фишинг страниц входа и верификации для криптовалютных бирж и финансовых сервисов.
  • Попытки выдать себя за государственные органы — например, Налоговое управление США и департаменты транспорта штатов — с целью сбора конфиденциальной персональной информации.

Целевые отрасли и география

В числе приоритетных целей кампании:

  • Почтовые и логистические службы (включая Почтовую службу США).
  • Банковский сектор и инвестиционные структуры — в том числе немецкие инвестиционные банки.
  • Правительственные учреждения в Великобритании, ОАЭ и других странах.
  • Онлайн-платформы, приложения для объединения поездок и площадки электронной коммерции.
  • Криптовалютные биржи и поставщики финансовых услуг.

Доменная и IP-инфраструктура распределена по нескольким странам, что указывает на скоординированные усилия по таргетингу пользователей в различных регионах, с особым фокусом на США.

Уровень риска и оперативная динамика

Агрессивный и динамичный подход злоумышленников — массовая регистрация доменов, использование PhaaS и быстрый оборот ресурсов — делает Smishing Triad особенно опасной. Комбинация импирсонации критических сервисов и методов вроде typosquatting увеличивает вероятность успешного компромета аккаунтов и утечек персональных данных.

Рекомендации для организаций и пользователей

  • Повысить осведомленность сотрудников и клиентов о характерных признаках smishing: неожиданные ссылки в SMS, требования срочной верификации, опечатки в доменах.
  • Внедрить многофакторную аутентификацию (MFA) и политику минимальных прав доступа.
  • Наладить мониторинг регистраций доменов и активности FQDNs, особенно в отношении доменов у Dominet (HK) Limited, Namesilo и Gname.
  • Использовать DNS-фильтрацию и блокирование известных вредоносных провайдеров, а также работать с провайдерами безопасности для быстрой реакции на новые домены.
  • Осуществлять регулярные тренировки по фишингу и тестирование устойчивости к smishing-атакам.

Smishing Triad демонстрирует, что современные кампании фишинга перестают быть локальными или точечными — они опираются на коммерциализированные сервисы и массовую автоматизацию. Это требует от организаций и пользователей комплексного, проактивного подхода к защите и постоянного мониторинга угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: