Eine chinesische Hacking-Gruppe namens „Fangxiao“ verwendet Tausende von betrügerischen Domains, um Opfer einer weit verbreiteten Phishing-Kampagne anzugreifen.
Tausende sind von Fangxiao-Phishing-Kampagne bedroht
Eine massive Phishing-Kampagne der chinesischen Hackergruppe „Fangxiao“ bringt Tausende von Menschen in Gefahr. Diese Kampagne hat 42.000 gefälschte Domänen verwendet, um Phishing-Angriffe zu erleichtern. Diese Betrüger-Domains sollen Benutzer zu Adware-Apps (Werbung für Malware), Werbegeschenken und Dating-Sites umleiten.
Cyjax, ein Unternehmen für Cybersicherheit und Bedrohungslösungen, entdeckte die 42.000 gefälschten Domains, die in dieser Kampagne verwendet wurden. In einem Cyjax-Blogbeitrag von Emily Dennison und Alana Witten wurde der Betrug als ausgeklügelt beschrieben, mit der Fähigkeit, „den Ruf auszunutzen von internationalen, vertrauenswürdigen Marken in mehreren Branchen, darunter Einzelhandel, Banken, Reisen, Pharmazeutika, Reisen und Energie".
Der Betrug beginnt mit a bösartige WhatsApp-Nachricht, wobei eine vertrauenswürdige Marke imitiert wird. Beispiele für solche Marken sind Emirates, Coca-Cola, McDonald's und Unilever. Diese Nachricht stellt dem Empfänger einen Link zu einer Webseite zur Verfügung, der ein gewisser Reiz verliehen wird. Die Umleitungsseite ist abhängig von der IP-Adresse des Ziels sowie dessen Benutzeragenten.
Beispielsweise kann McDonald's behaupten, ein kostenloses Werbegeschenk anzubieten. Wenn das Opfer seine Registrierung für das Giveaway abschließt, wird der Download der Triada Trojaner-Malware kann ausgelöst werden. Malware kann auch beim Herunterladen einer bestimmten App installiert werden, die die Opfer installieren sollen, um weiterhin am Werbegeschenk teilnehmen zu können.
Angreifer geschützt durch CloudFlare
Cyjax stellte in seinem Blogbeitrag zu dieser Kampagne fest, dass die Infrastruktur von Fangxiao größtenteils durch CloudFlare, ein amerikanisches Content Delivery Network (CDN), geschützt wird. Es wurde auch festgestellt, dass die Betrüger-Domains auf GoDaddy, Namecheap und Wix erstellt wurden, wobei ihre Namen häufig rotieren.
Die Mehrheit dieser Phishing-Domains wurde mit .top registriert, der Rest hauptsächlich mit .cn, .cyou, .xyz, .tech und .work.
Die Fangxiao-Gruppe ist nichts Neues
Die Hacking-Gruppe Fangxiao gibt es schon seit einiger Zeit. Die Domains, die in dieser Kampagne verwendet werden, wurden erstmals 2019 von Cyjax bemerkt und haben seitdem an Zahl zugenommen. Im Oktober 2022 wurden innerhalb von nur einem Tag über 300 einzigartige Domains von Fangxiao hinzugefügt.
Es ist nicht zu 100 % bestätigt, dass die Gruppe ihren Sitz in China hat, aber Cyjax hat diesen Standort mit großer Zuversicht bestimmt. Ein Indikator dafür ist die Verwendung von Mandarin in einem der exponierten Bedienfelder der Gruppe. Cyjax spekulierte auch, dass das Ziel der Kampagne wahrscheinlich ein monetärer Gewinn sein wird.
Phishing-Kampagnen nehmen zu
Phishing ist heute eine der beliebtesten Taktiken der Cyberkriminalität und kann in verschiedenen Formen auftreten. Es kann schwierig sein, Phishing-Angriffe zu erkennen, insbesondere solche, die sehr raffiniert sind. Spamfilter und Antivirenprogramme können verwendet werden, um Phishing-Angriffe abzuschwächen, aber es ist immer noch wichtig, auf sein Bauchgefühl zu vertrauen und jede Kommunikation zu vermeiden, die nicht ganz richtig erscheint.
