Lovci na prijetnje otkrili su novu kampanju koja koristi tehnike trovanja optimizacijom pretraživača (SEO) kako bi ciljala mobilne uređaje zaposlenika i olakšala prevaru s obračunom plata.
Aktivnost, koju je ReliaQuest prvi put otkrio u maju 2025. godine, a usmjerena je na neimenovanog kupca u proizvodnom sektoru, karakterizira korištenje lažnih stranica za prijavu za pristup portalu za obračun plata zaposlenika i preusmjeravanje platnih lista na račune pod kontrolom napadača.
“Napadačeva infrastruktura koristila je kompromitirane rutere iz kućnih kancelarija i mobilne mreže kako bi maskirala svoj saobraćaj, izbjegavajući otkrivanje i provlačeći se pored tradicionalnih sigurnosnih mjera”, navela je kompanija za sajber sigurnost u analizi objavljenoj prošle sedmice.
“Protivnik je ciljao mobilne uređaje zaposlenika lažnom web stranicom koja se lažno predstavlja kao stranica za prijavu organizacije. Naoružan ukradenim pristupnim podacima, protivnik je dobio pristup portalu za obračun plata organizacije, promijenio podatke o direktnom depozitu i preusmjerio platne čekove zaposlenika na njihove vlastite račune.”
Iako napadi nisu pripisani određenoj hakerskoj grupi, ReliaQuest je saopštio da je riječ o dijelu šire, tekuće kampanje zbog dva slična incidenta koja su istraživali krajem 2024. godine.
Sve počinje kada zaposlenik pretražuje portal za obračun plata svoje kompanije na pretraživačima poput Googlea, pri čemu se obmanjujuće web stranice pojavljuju na vrhu rezultata koristeći sponzorisane linkove. Oni koji kliknu na lažne linkove vode na WordPress stranicu koja preusmjerava na phishing stranicu koja oponaša Microsoftov portal za prijavu kada se posjeti s mobilnog uređaja.
Kredencijali uneseni na lažnoj odredišnoj stranici naknadno se eksfiltriraju na web stranicu koju kontroliše napadač, a istovremeno se uspostavlja dvosmjerna WebSocket veza kako bi se napadač upozorio na ukradene lozinke koristeći API za push obavijesti koji pokreće Pusher .
Ovo napadačima daje priliku da ponovo koriste kredencijale što je prije moguće prije nego što budu promijenjeni i dobiju neovlašteni pristup sistemu za obračun plata.
Osim toga, ciljanje mobilnih uređaja zaposlenika nudi dvostruke prednosti jer im nedostaju sigurnosne mjere poslovnog nivoa koje su obično dostupne na desktop računarima i povezuju se izvan korporativne mreže, što efektivno smanjuje vidljivost i otežava istražne napore.
„Ciljanjem nezaštićenih mobilnih uređaja kojima nedostaju sigurnosna rješenja i evidentiranje, ova taktika ne samo da izbjegava otkrivanje, već i ometa napore za analizu phishing web stranice“, rekao je ReliaQuest. „Ovo sprječava sigurnosne timove da skeniraju stranicu i dodaju je indikatorima kompromitiranih prijetnji (IOC), što dodatno komplicira napore za ublažavanje.“
U daljnjem pokušaju zaobilaženja detekcije, utvrđeno je da maliciozni pokušaji prijave potiču s stambenih IP adresa povezanih s ruterima za kućne urede, uključujući one od brendova poput ASUS-a i Pakedge-a.
Ovo ukazuje na to da hakeri iskorištavaju slabosti poput sigurnosnih propusta, zadanih pristupnih podataka ili drugih pogrešnih konfiguracija koje često muče takve mrežne uređaje kako bi pokrenuli napade grubom silom. Kompromitovani ruteri se zatim zaraze maliciozne softverom koji ih uključuje u proxy botnet mreže , koje se na kraju iznajmljuju sajber kriminalcima.
„Kada napadači koriste proxy mreže, posebno one vezane za stambene ili mobilne IP adrese, organizacijama ih je mnogo teže otkriti i istražiti“, rekao je ReliaQuest. „Za razliku od VPN-ova, koji se često označavaju jer su njihove IP adrese već bile iskorištavanje, stambene ili mobilne IP adrese omogućavaju napadačima da prođu ispod radara i izbjegnu klasifikaciju kao maliciozni.“
„Štaviše, proxy mreže omogućavaju napadačima da prikažu da njihov promet potiče s iste geografske lokacije kao i ciljana organizacija, zaobilazeći sigurnosne mjere osmišljene za označavanje prijava s neobičnih ili sumnjivih lokacija.“
Ovo otkriće dolazi nakon što je Hunt.io detaljno opisao phishing kampanju koja koristi lažnu web stranicu Adobe Shared File servisa za krađu podataka za prijavu na Microsoft Outlook pod izgovorom omogućavanja pristupa datotekama koje navodno dijeli kontakt. Stranice su, prema navodima kompanije, razvijene korištenjem W3LL phishing kompleta .
Takođe se poklapa s otkrićem novog phishing kita kodnog naziva CoGUI koji se koristi za aktivno ciljanje japanskih organizacija lažnim predstavljanjem poznatih potrošačkih i finansijskih brendova kao što su Amazon, PayPay, MyJCB, Apple, Orico i Rakuten. Čak 580 miliona e-poruka poslano je između januara i aprila 2025. godine kao dio kampanja koje koriste ovaj kit.
„CoGUI je sofisticirani komplet koji koristi napredne tehnike izbjegavanja, uključujući geofencing, ograđivanje zaglavlja i otiske prstiju kako bi se izbjeglo otkrivanje od strane automatiziranih sistema pregledavanja i sandboxova“, rekla je firma za sigurnost preduzeća Proofpoint u analizi objavljenoj ovog mjeseca. „Cilj kampanja je krađa korisničkih imena, lozinki i podataka o plaćanju.“
Uočene phishing e-poruke u napadima uključuju linkove koji vode do web stranica za phishing kredencijale. Međutim, važno je napomenuti da CoGUI kampanje ne uključuju mogućnosti prikupljanja kodova za višefaktorsku autentifikaciju (MFA).
Navodno se CoGUI koristi najmanje od oktobra 2024. godine, i vjeruje se da dijeli neke sličnosti s drugim poznatim phishing alatima kodnog naziva Darcula – što sugeriše da bi prvi mogao biti dio istog kineskog PhaaS ekosistema nazvanog Smishing Triad koji takođe uključuje Lucid i Lighthouse.
Uz to rečeno, jedan ključni aspekt koji razlikuje Darculu od CoGUI-ja je to što je prvi više fokusiran na mobilne uređaje i smishing, te ima za cilj krađu podataka o kreditnim karticama.
„Darcula postaje sve dostupnija, kako u smislu cijene tako i dostupnosti, tako da bi u budućnosti mogla predstavljati značajnu prijetnju“, rekao je PRODAFT za The Hacker News u saopštenju. „S druge strane, Lucid i dalje ostaje ispod radara. I dalje je izazovno identifikovati phishing komplete samo gledanjem SMS poruka ili URL obrazaca, jer često koriste uobičajene servise za dostavu.“
Još jedan novi prilagodljivi komplet za krađu podataka koji se pojavio u kineskom okruženju cyber kriminala je Panda Shop, koji koristi mrežu Telegram kanala i interaktivnih botova za automatizaciju pružanja usluga. Phishing stranice su dizajnirane da imitiraju popularne brendove i vladine usluge kako bi ukrale lične podatke. Presretnuti podaci o kreditnim karticama šalju se u ilegalne prodavnice kartica i prodaju drugim cyberkriminalcima.
„Primijetno je da su kineski sindikati sajber kriminala uključeni u smishing napad jer se osjećaju nedodirljivima“, rekao je Resecurity . „U svojim komunikacijama su naglasili da ih nije briga za američke agencije za provođenje zakona. Boraveći u Kini, uživaju potpunu slobodu djelovanja i bave se mnogim ilegalnim aktivnostima.“
Resecurity, koji je identificirao Panda Shop u martu 2025. godine, rekao je da hakeri koristi model kriminala kao usluge sličan onome Smishing Triad, nudeći korisnicima mogućnost distribucije smishing poruka putem Apple iMessage i Android RCS koristeći kompromitirane Apple i Gmail račune kupljene u velikim količinama.
Vjeruje se da Panda Shop uključuje članove Smishing Triad-a na osnovu sličnosti u korištenim phishing kompletima. Takođe je uočeno više aktera prijetnji koji koriste smishing komplet za prevare s Google Walletom i Apple Payom.
“Hakeri koji stoje iza smishing kampanja blisko su povezani s onima koji su uključeni u trgovačke prevare i pranje novca”, rekao je Resecurity. “Smishing je jedan od glavnih katalizatora aktivnosti karticanja, pružajući sajberkriminalcima značajne količine kompromitovanih podataka prikupljenih od žrtava.”
Izvor:The Hacker News