La amenaza conocida como Smishing Triad, que utiliza el idioma chino, está haciéndose pasar por la Autoridad Federal para la Identidad y la Ciudadanía de los Emiratos Árabes Unidos. Esta amenaza está enviando mensajes SMS maliciosos a residentes y extranjeros en busca de información confidencial. Los criminales envían enlaces maliciosos a los teléfonos de sus víctimas mediante SMS o iMessage, y utilizan servicios de acortamiento de URL como Bit.ly para proteger su dominio y ubicación de alojamiento en la web.
Smishing Triad, descubierto por primera vez por una firma de ciberseguridad en septiembre de 2023, utiliza cuentas de Apple iCloud comprometidas para enviar mensajes de smishing que se utilizan para el robo de identidad y el fraude financiero.
Este actor también vende kits de smishing y lleva a cabo ataques estilo Magecart en plataformas de comercio electrónico para robar los datos de los clientes. Este modelo de fraude como servicio (FaaS) permite a «Smishing Triad» escalar su operación al permitir que otros ciberdelincuentes utilicen sus herramientas y lancen ataques independientes.
La campaña de smishing que están llevando a cabo ahora está diseñada para apuntar a aquellos que recientemente han actualizado sus visas de residencia con mensajes dañinos. La campaña se aplica tanto a dispositivos Android como iOS, y es muy probable que los operadores utilicen la suplantación de SMS o los servicios de spam para perpetrar el esquema.
Los destinatarios que hacen clic en el enlace incrustado en el mensaje se dirigen a un sitio web falso («rpjpapc[.]top») que se hace pasar por la Autoridad Federal de Identidad, Ciudadanía, Aduanas y Seguridad del Puerto (ICP) de los Emiratos Árabes Unidos. Se les solicita que ingresen su información personal, como nombres, números de pasaporte, números de teléfono móvil, direcciones e información de la tarjeta.
Lo que hace que esta campaña sea particularmente destacable es el uso de un mecanismo de geovallado para cargar el formulario de phishing solo cuando se visita desde direcciones IP de Emiratos Árabes Unidos y dispositivos móviles.
Resecurity, la firma que descubrió Smishing Triad, afirmó que los delincuentes pueden haber obtenido información sobre residentes y extranjeros en los EAU a través de filtraciones de datos de terceros, compromisos de correo electrónico empresarial, bases de datos compradas en la dark web o de otras fuentes.
La última campaña de Smishing Triad coincide con el lanzamiento de un nuevo mercado en la web conocido como OLVX Marketplace («olvx[.]cc») que vende herramientas para llevar a cabo fraudes en línea, como kits phish, shells web y credenciales comprometidas.
Mientras tanto, otro descubrimiento realizado por Trellix indica que los ciberdelincuentes están utilizando Predator, una herramienta de detección de bots de código abierto, como parte de varias campañas de phishing. Esta herramienta, destinada a combatir el fraude y a identificar solicitudes procedentes de bots o rastreadores web, se está utilizando para redirigir víctimas a páginas de phishing.
Los investigadores de seguridad descubrieron que los delincuentes estaban utilizando la herramienta modificando el código original para proporcionar una lista de enlaces con código duro en lugar de generar enlaces aleatorios dinámicamente. Esto muestra cómo los ciberdelincuentes utilizan herramientas de código abierto para evadir los productos de seguridad de las organizaciones y lograr sus objetivos maliciosos de manera más efectiva.
