14/04/25
Кибергруппа Smishing Triad, действующая из Китая, развернула широкомасштабную кампанию, охватившую пользователей более чем в 121 стране. В основе операций — кража банковских данных с помощью фишинга через SMS, однако деятельность преступников не ограничивается только финансовым сектором. Под удар также попали логистические, розничные и почтовые службы, пишет Securitylab.
По данным анализа инфраструктуры, проведённого исследователями из Silent Push, только за 20 дней зафиксировано более миллиона визитов на страницы, использовавшиеся группировкой. Это указывает на объёмы, существенно превышающие ранее озвученные 100 тысяч фишинговых SMS в сутки.
Новой вехой в эволюции Smishing Triad стало появление набора инструментов «Lighthouse». Он не только облегчает запуск фишинговых страниц в один клик, но и поддерживает синхронизацию в реальном времени, обеспечивая мгновенное похищение данных. Комплекс позволяет перехватывать OTP, PIN-коды и проходить 3DS-проверку, что делает его особенно опасным.
Целями становятся десятки банковских организаций, преимущественно в Австралии и странах Азиатско-Тихоокеанского региона. Среди них — Commonwealth Bank, National Australia Bank, а также глобальные платформы вроде PayPal, Mastercard и HSBC. Это свидетельствует о смещении фокуса с массовых атак на более «прибыльные» мишени.
Инфраструктура группировки впечатляет масштабами: задействовано свыше 8 800 уникальных IP-адресов и более 200 автономных систем. Большая часть фишинговых сайтов размещается на хостингах китайских технологических гигантов Tencent и Alibaba, что подчёркивает тесную связь с китайским интернет-пространством.
Среди применяемых методов — не только массовые SMS-рассылки, но и отправка сообщений через скомпрометированные аккаунты Apple iCloud и локальные телефонные номера. Это усложняет отслеживание, а также снижает подозрения у жертв.
С марта 2025 года Smishing Triad активизировалась и ввела в оборот новый фишинговый комплект, который якобы поддерживается «300+ операторами по всему миру». Это говорит о масштабной координации и наличии глобальной сети, обслуживающей преступные схемы.
Silent Push продолжает мониторинг и сотрудничает с международными организациями для противодействия атакующим. Однако высокая частота ротации доменов — десятки тысяч новых за неделю — делает работу по блокировке затруднительной.
