Een Chinese hackgroep, bekend als "Fangxiao", gebruikt duizenden bedriegerdomeinen om slachtoffers te targeten in een wijdverspreide phishing-campagne.
Duizenden lopen het risico van Fangxiao Phishing-campagne
Een massale phishing-campagne van de Chinese hackgroep "Fangxiao" brengt duizenden mensen in gevaar. Deze campagne heeft 42.000 bedriegerdomeinen gebruikt om phishing-aanvallen mogelijk te maken. Deze bedriegerdomeinen zijn ontworpen om gebruikers om te leiden naar adware-apps (adverterende malware), weggeefacties en datingsites.
Cyjax, een bedrijf voor cyberbeveiliging en bedreigingsoplossingen, ontdekte de 42.000 valse domeinen die in deze campagne werden gebruikt. In een Cyjax-blogpost door Emily Dennison en Alana Witten werd de zwendel beschreven als geavanceerd, met het vermogen om "de reputatie uit te buiten van internationale, vertrouwde merken in meerdere branches, waaronder detailhandel, bankieren, reizen, farmaceutica, reizen en energie".
De zwendel begint met een kwaadaardig WhatsApp-bericht, waarin een vertrouwd merk wordt nagebootst. Voorbeelden van dergelijke merken zijn Emirates, Coca-Cola, McDonald's en Unilever. Dit bericht geeft de ontvanger een link naar een webpagina die allure krijgt. De omleidingssite is afhankelijk van het IP-adres van het doelwit, evenals van hun user-agent.
McDonald's kan bijvoorbeeld beweren een gratis weggeefactie te doen. Wanneer het slachtoffer zijn registratie voor de weggeefactie voltooit, wordt de download van de Triada Trojaanse malware kan worden getriggerd. Malware kan ook worden geïnstalleerd na het downloaden van een specifieke app, die slachtoffers moeten installeren om deel te blijven nemen aan de weggeefactie.
Aanvallers beschermd door CloudFlare
Cyjax merkte in zijn blogpost over deze campagne op dat de infrastructuur van Fangxiao grotendeels wordt beschermd door CloudFlare, een Amerikaans Content Delivery Network (CDN). Er werd ook opgemerkt dat de bedriegerdomeinen zijn gemaakt op GoDaddy, Namecheap en Wix, waarbij hun namen regelmatig worden gerouleerd.
Het merendeel van deze phishing-domeinen was geregistreerd bij .top, terwijl de rest grotendeels geregistreerd was bij .cn, .cyou, .xyz, .tech en .work.
De Fangxiao Group is niets nieuws
De hackgroep Fangxiao bestaat al een tijdje. De domeinen die in deze campagne worden gebruikt, werden voor het eerst opgemerkt door Cyjax in 2019 en zijn sindsdien in aantal toegenomen. In oktober 2022 voegde Fangxiao in slechts één dag tijd meer dan 300 unieke domeinen toe.
Het is niet 100% bevestigd dat de groep in China is gevestigd, maar Cyjax heeft deze locatie met een hoog niveau van vertrouwen bepaald. Een indicator hiervan is het gebruik van Mandarijn in een van de blootgestelde bedieningspanelen van de groep. Cyjax speculeerde ook dat het doel van de campagne waarschijnlijk geldelijk gewin is.
Phishing-campagnes zijn in opkomst
Phishing is tegenwoordig een van de meest populaire cybercriminaliteitstactieken en kan in verschillende vormen voorkomen. Het kan lastig zijn om phishing-aanvallen te herkennen, vooral als ze zeer geavanceerd zijn. Spamfilters en antivirusprogramma's kunnen worden gebruikt om phishing-aanvallen tegen te gaan, hoewel het nog steeds belangrijk is om op uw gevoel te vertrouwen en communicatie te vermijden die niet helemaal goed lijkt.
