Η νέα πλατφόρμα PhaaS Phoenix αυξάνει την πλαστοπροσωπία της επωνυμίας στα οικονομικά, τις τηλεπικοινωνίες και τα logistics

Μια επικίνδυνη νέα πλατφόρμα ηλεκτρονικού ψαρέματος που ονομάζεται Phoenix εξαπλώνεται αθόρυβα σε όλο τον κόσμο, στοχεύοντας ανθρώπους μέσω πλαστών μηνυμάτων SMS που έχουν σχεδιαστεί έτσι ώστε να μοιάζουν σαν να προέρχονται από αξιόπιστες τράπεζες, παρόχους τηλεπικοινωνιών και εταιρείες διανομής.

Αυτή η πλατφόρμα λειτουργεί με συνδρομή, διευκολύνοντας τους εγκληματίες του κυβερνοχώρου με περιορισμένες τεχνικές δεξιότητες να ξεκινήσουν εκστρατείες μεγάλης κλίμακας μέσα σε λίγα λεπτά.

Το Phishing-as-a-Service, ή PhaaS, έχει γίνει μια από τις ταχύτερα αναπτυσσόμενες απειλές στον κόσμο του εγκλήματος στον κυβερνοχώρο. Αντί να δημιουργούν εργαλεία από την αρχή, οι εγκληματίες του κυβερνοχώρου νοικιάζουν τώρα έτοιμα κιτ phishing που συνοδεύονται από προκατασκευασμένα πρότυπα, πίνακες εργαλείων σε πραγματικό χρόνο και αυτοματοποιημένη παρακολούθηση θυμάτων.

Το σύστημα Phoenix βασίζεται σε αυτό το μοντέλο προσφέροντας ένα κεντρικό διαχειριστικό πάνελ που επιτρέπει στους χειριστές να διαχειρίζονται πολλαπλές καμπάνιες ηλεκτρονικού ψαρέματος ταυτόχρονα σε διαφορετικές χώρες και κλάδους.

Από τον Ιανουάριο του 2024, η πλατφόρμα έχει συνδεθεί με δύο κύριους τύπους καμπάνιας: Το ηλεκτρονικό ψάρεμα σημείων ανταμοιβής, το οποίο υποδύεται τις τράπεζες και τους παρόχους κινητής τηλεφωνίας και το ηλεκτρονικό ψάρεμα με αποτυχημένη παράδοση δεμάτων, το οποίο υποδύεται τις εταιρείες logistics και τις ναυτιλιακές εταιρείες.

Οι ερευνητές του Group-IB αποκάλυψαν το σύστημα Phoenix ενώ αναλύονται παγκόσμιες επιχειρήσεις σπασίματος που εκτείνονται σε περιοχές APAC, LATAM, Ευρώπη και MEA.

Η έρευνα αποκάλυψε ότι παρά τη στόχευση διαφορετικών βιομηχανιών και ομάδων θυμάτων, και οι δύο τύποι καμπανιών μοιράζονται την ίδια υποδομή υποστήριξης, επιβεβαιώνοντας ότι δεν αποτελούν ξεχωριστές λειτουργίες αλλά μέρος ενός ενιαίου, οργανωμένου οικοσυστήματος phishing.

Η πλατφόρμα είναι ο άμεσος διάδοχος ενός προηγούμενου εργαλείου γνωστού ως Mouse System, το οποίο έκτοτε έχει παροπλιστεί.

Το σύστημα Phoenix κληρονομεί πολλά από τα ίδια Λογική JavaScript και διοικητικό πλαίσιο από τον προκάτοχό του, με σημαντικές ενημερώσεις που καθιστούν δυσκολότερο τον εντοπισμό και ευκολότερο τη λειτουργία του σε κλίμακα.

Μέχρι στιγμής, οι καμπάνιες του Phoenix έχουν στοχεύσει περισσότερους από 70 οργανισμούς σε όλο τον κόσμο, με πάνω από 1.500 τομείς ηλεκτρονικού ψαρέματος να έχουν εντοπιστεί από τις αρχές του 2024.

Αυτό που κάνει το Phoenix ιδιαίτερα ανησυχητικό είναι ο συνδυασμός της ταχύτητας, της ευελιξίας και των δυνατοτήτων φοροδιαφυγής. Οι χειριστές μπορούν να διαμορφώσουν καμπάνιες για συγκεκριμένες χώρες χρησιμοποιώντας γεωγραφική περίφραξη και Έλεγχοι φιλτραρίσματος IP, διασφαλίζοντας ότι μόνο τα θύματα από την περιοχή προορισμού βλέπουν ποτέ το περιεχόμενο phishing.

Η πλατφόρμα χρεώνει περίπου 2.000 $ για ετήσια πρόσβαση και διανέμεται μέσω αποκλειστικών καναλιών Telegram.

Μέσα στο πλαίσιο του Phoenix Phishing

Μία από τις πιο αξιοσημείωτες τεχνικά πτυχές του Phoenix είναι ο κεντρικός πίνακας διαχείρισης, ο οποίος δίνει στους χειριστές τον πλήρη έλεγχο σε κάθε στάδιο μιας εκστρατείας phishing.

Αφού διαμορφωθεί, ο πίνακας επιτρέπει στους χειριστές να επιβλέπουν ενεργές καμπάνιες, να ορίζουν κανόνες φιλτραρίσματος επισκεψιμότητας ανά εύρος IP ή τύπο συσκευής και να παρακολουθούν όλα τα συγκεντρωμένα διαπιστευτήρια σε πραγματικό χρόνο μέσω ενός ζωντανού πίνακα ελέγχου.

Τα μηνύματα smishing παραδίδονται χρησιμοποιώντας έναν συνδυασμό συνηθισμένων αριθμών κινητού τηλεφώνου και έγχυσης σταθμού βάσης πομποδέκτη.

Η παράδοση που βασίζεται σε BTS περιλαμβάνει αδίστακτο εξοπλισμό που εκπέμπει ισχυρότερα σήματα από τους νόμιμους πύργους, αναγκάζοντας τις κοντινές συσκευές να συνδέονται και να λαμβάνουν απευθείας μηνύματα SMS.

Δεδομένου ότι αυτά τα μηνύματα παρακάμπτουν το φιλτράρισμα σε επίπεδο εταιρείας κινητής τηλεφωνίας, φαίνεται ότι προέρχονται από νόμιμα ονόματα αποστολέων και επώνυμους σύντομους κωδικούς, γεγονός που καθιστά πολύ πιο δύσκολο τον εντοπισμό τους τόσο από τους χρήστες όσο και από τους τηλεπικοινωνιακούς φορείς.

Όταν ένα θύμα κάνει κλικ στον σύνδεσμο μέσα στο SMS, η σελίδα phishing ελέγχει πρώτα τη διεύθυνση IP του επισκέπτη και τον τύπο συσκευής.

Μόνο χρήστες από τη χώρα-στόχο και σε εγκεκριμένες συσκευές μπορούν να δουν τη δόλια σελίδα.

Όλοι οι άλλοι ανακατευθύνονται σιωπηλά σε μια σελίδα σφάλματος ή σε μια προεπιλεγμένη ανακατεύθυνση συστήματος, αποκρύπτοντας ουσιαστικά την υποδομή από τους ερευνητές ασφαλείας.

Ο Οι σελίδες phishing έχουν δημιουργηθεί για να μιμούνται στενά επίσημους ιστότοπους γνωστών εμπορικών σημάτων με αντίστοιχα λογότυπα, διατάξεις και διατύπωση.

Τα θύματα καλούνται πρώτα να εισαγάγουν τον αριθμό τηλεφώνου τους για να ελέγξουν την κατάσταση ανταμοιβής ή να ενημερώσουν τα στοιχεία παράδοσης.

Μετά την υποβολή, μεταφέρονται μέσω μιας σειράς σελίδων που συλλέγουν πλήρη στοιχεία πιστωτικής κάρτας, διευθύνσεις αποστολής και στοιχεία προσωπικής ταυτοποίησης.

Οι οργανισμοί μπορούν να μειώσουν την έκθεσή τους παρακολουθώντας συνεχώς για κατάχρηση επωνυμίας που συνδέεται με SMS και παρακολουθώντας νέους καταχωρημένους τομείς.

Οι ομάδες τηλεπικοινωνιών θα πρέπει να επιτρέπουν ροές εργασιών ταχείας κατάργησης και να συντονίζονται με τους παρόχους όταν υπάρχει υποψία για έγχυση που βασίζεται σε BTS.

Οι μεμονωμένοι χρήστες θα πρέπει να αποφεύγουν να κάνουν κλικ σε συνδέσμους μέσα σε αυτόκλητα μηνύματα SMS, να επαληθεύουν τυχόν ειδοποιήσεις μέσω επίσημων εφαρμογών ή ιστότοπων και να μην εισάγουν ποτέ στοιχεία πληρωμής ή προσωπικά στοιχεία μέσω συνδέσμων που λαμβάνονται μέσω κειμένου.