Ένα νέο κιτ “phishing, που ονομάζεται ‘Cogui’ έστειλε πάνω από 580 εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου σε στόχους μεταξύ Ιανουαρίου και Απριλίου 2025, με στόχο να κλέψει τα διαπιστευτήρια λογαριασμού και τα δεδομένα πληρωμών.
Τα μηνύματα μιμούνται μεγάλες μάρκες όπως το Amazon, το Rakuten, το PayPal, το Apple, οι φορολογικές υπηρεσίες και οι τράπεζες.
Η δραστηριότητα κορυφώθηκε τον Ιανουάριο του 2025, όπου 170 εκστρατείες έστειλαν 172.000.000 μηνύματα ηλεκτρονικού ψαρέματος σε στόχους, αλλά οι επόμενοι μήνες διατηρούσαν εξίσου εντυπωσιακούς όγκους.
Οι ερευνητές του Proofpoint που ανακάλυψαν τις εκστρατείες COGUI σημείωσαν ότι είναι η εκστρατεία ψαρέματος υψηλότερου όγκου που παρακολουθούν σήμερα. Οι επιθέσεις στοχεύουν κυρίως στην Ιαπωνία, αν και οι εκστρατείες μικρότερης κλίμακας απευθύνονταν επίσης στις Ηνωμένες Πολιτείες, τον Καναδά, την Αυστραλία και τη Νέα Ζηλανδία.
Ο Cogui δραστηριοποιείται τουλάχιστον από τον Οκτώβριο του 2024, αλλά Το Proofpoint ξεκίνησε την παρακολούθηση Τον Δεκέμβριο και και μετά.
Πηγή: Proofpoint
Οι αναλυτές βρήκαν αρκετές ομοιότητες με το κιτ Darcula Phishing, το οποίο έχει συνδεθεί με τους εργαζόμενους με έδρα την Κίνα και αρχικά πίστευε ότι η προέλευση των επιθέσεων Cogui είναι η ίδια.
Ωστόσο, μετά από βαθύτερη εξέταση, το Proofpoint κατέληξε στο συμπέρασμα ότι τα δύο κιτ ηλεκτρονικού ψαρέματος είναι άσχετα, παρόλο που χρησιμοποιούνται και οι δύο από τους κινέζους ηθοποιούς απειλής.
Αλυσίδα επίθεσης Cogui
Η επίθεση ξεκινά με ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού “ψαρέματος” που υπομείνει ένα αξιόπιστο εμπορικό σήμα, συχνά έχοντας επείγουσες θεματικές γραμμές που απαιτούν τη δράση του παραλήπτη.
Τα μηνύματα περιλαμβάνουν μια διεύθυνση URL που ανακατευθύνει σε μια ιστοσελίδα ηλεκτρονικού “ψαρέματος” που φιλοξενείται στην πλατφόρμα phishing cogui, αλλά ο σύνδεσμος επιλύεται μόνο εάν ο στόχος πληροί συγκεκριμένα κριτήρια που έχουν καθοριστεί από τους επιτιθέμενους.
Αυτά τα κριτήρια περιλαμβάνουν τη διεύθυνση IP (τοποθεσία), τη γλώσσα του προγράμματος περιήγησης, το λειτουργικό σύστημα, την ανάλυση οθόνης και τον τύπο συσκευής (κινητό ή επιφάνεια εργασίας).
Εάν τα κριτήρια δεν πληρούνται, τα θύματα ανακατευθύνονται στον νόμιμο χώρο της μάρκας που μιμείται τη μείωση της υποψίας.
Οι έγκυροι στόχοι ανακατευθύνονται σε μια σελίδα ηλεκτρονικού “ψαρέματος” που περιλαμβάνει μια ψεύτικη φόρμα σύνδεσης που μιμείται το σχεδιασμό της πραγματικής μάρκας, εξαπατώντας τα θύματα να εισέλθουν στις ευαίσθητες πληροφορίες τους.
Πηγή: Proofpoint
Το Proofpoint έχει επίσης διαπιστώσει ότι ο Cogui ήταν πίσω από τις εκστρατείες που στοχεύουν στις Ηνωμένες Πολιτείες με τα «εξαιρετικά δοχεία πληρωμής». Ωστόσο, σημείωσε ότι το μεγαλύτερο μέρος αυτής της δραστηριότητας έχει μεταναστεύσει τώρα στο Darcula.
Οι ερευνητές πιστεύουν ότι ο Cogui διευκολύνει τη λειτουργία πολλαπλών απειλών, κυρίως από την Κίνα, οι οποίοι στοχεύουν κυρίως στους ιαπωνικούς χρήστες.
Ωστόσο, το κιτ θα μπορούσε να υιοθετηθεί από άλλους εγκληματίες στον κυβερνοχώρο με διαφορετικό πεδίο στόχευσης ανά πάσα στιγμή, με αποτέλεσμα τα τεράστια κύματα επίθεσης που χτυπούν άλλες χώρες.
Ο καλύτερος τρόπος για να μετριάσετε τους κινδύνους του ηλεκτρονικού “ψαρέματος” δεν είναι ποτέ να ενεργείτε με βιασύνη όταν λαμβάνετε μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούν επείγουσα δράση και πάντα συνδεθείτε στην απαιτούμενη πλατφόρμα ανεξάρτητα αντί να ακολουθήσετε ενσωματωμένους συνδέσμους.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
