Группировка расширяет своё влияние и очень точно рассчитывает свои атаки.
По данным Group-IB, китайскоязычная группировка PostalFurious связана с новой фишинговой SMS-рассылкой, нацеленной на пользователей в ОАЭ. В ходе кампании хакеры отправляют сообщения от имени почтовых служб и операторов платных дорог.
Мошенническая схема заключается в отправке пользователям поддельных SMS-сообщений (смишинг) с просьбой оплатить проезд автомобиля, чтобы избежать дополнительных штрафов. Сообщения также содержат сокращенный URL-адрес, чтобы скрыть настоящую фишинговую ссылку.
Нажатие на ссылку направляет жертву на фишинговую платёжную страницу, на которой запрашиваются личные данные (имя, адрес) и информация о кредитной карте для оплаты проезда. Предполагается, что кампания активна с 15 апреля 2023 года. Фишинговые страницы используют официальное название и логотип известного поставщика почтовых услуг.
Поддельная платежная страница, выдающая себя за оператора платных дорог
Точный масштаб атак в настоящее время неизвестен. Известно, что текстовые сообщения были отправлены с телефонных номеров, зарегистрированных в Малайзии и Таиланде, а также с адресов электронной почты через сервис Apple iMessage.
Чтобы остаться незамеченными, фишинговые ссылки ограничены геозоной, так что доступ к страницам возможен только с IP-адресов в ОАЭ. Также было замечено, что злоумышленники каждый день регистрируют новые фишинговые домены, чтобы расширить свой охват.
По данным экспертов, вторая подобная кампания, обнаруженная 29 апреля 2023 года, имитировала почтового оператора ОАЭ.
Поддельное SMS от имени почтовой службы ОАЭ (слева) и фальшивое отменённое отправление (справа)
Активность группы знаменует собой расширение усилий злоумышленника по крайней мере с 2021 года, когда хакеры начали нацеливаться на пользователей в Азиатско-Тихоокеанском регионе (АТР). Group-IB заявила, что операции PostalFurious демонстрируют «транснациональный характер организованной киберпреступности».
Чтобы не стать жертвой такого мошенничества, рекомендуется не переходить по ссылкам и не открывать вложения, отправленные от неизвестного контакта, а также поддерживать ПО в актуальном состоянии и соблюдать строгие процедуры кибергигиены .
Одно найти легче, чем другое. Спойлер: это не темная материя