Les auteurs de la menace à l’origine d’une campagne de smishing continue à grande échelle ont été attribués à plus de 194 000 domaines malveillants depuis le 1er janvier 2024, ciblant un large éventail de services à travers le monde, selon de nouvelles conclusions de l’unité 42 de Palo Alto Networks.
“Bien que ces domaines soient enregistrés via un registraire basé à Hong Kong et utilisent des serveurs de noms chinois, l’infrastructure d’attaque est principalement hébergée sur des services cloud américains populaires”, ont déclaré les chercheurs en sécurité Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi et Moe Ghasemisharif.
L’activité a été attribuée à un groupe lié à la Chine connu sous le nom de Triade Smishingconnu pour inonder les appareils mobiles de violations frauduleuses des péages et d’avis de livraison erronée de colis afin d’inciter les utilisateurs à prendre des mesures immédiates et à fournir des informations sensibles.
Ces campagnes se sont révélées lucratives, permettant aux acteurs de la menace de gagner plus d’un milliard de dollars au cours des trois dernières années, selon un récent rapport du Wall Street Journal.
Dans un rapport publié plus tôt cette semaine, Fortra a déclaré que les kits de phishing associés à la Smishing Triad sont de plus en plus utilisés pour cibler les comptes de courtage afin d’obtenir des informations d’identification bancaires et des codes d’authentification, les attaques ciblant ces comptes ayant quintuplé au deuxième trimestre 2025 par rapport à la même période l’année dernière.
“Une fois compromis, les attaquants manipulent les cours boursiers en utilisant des tactiques de “rampe et dump””, a déclaré le chercheur en sécurité Alexis Ober. “Ces méthodes ne laissent pratiquement aucune trace écrite, ce qui accroît encore les risques financiers liés à cette menace.”
Le collectif d’adversaires aurait évolué d’un fournisseur de kits de phishing dédié à une « communauté très active » qui rassemble des acteurs de menace disparates, dont chacun joue un rôle crucial dans l’écosystème du phishing-as-a-service (PhaaS).
Cela inclut les développeurs de kits de phishing, les courtiers en données (qui vendent des numéros de téléphone cibles), les vendeurs de domaines (qui enregistrent des domaines jetables pour héberger les sites de phishing), les fournisseurs d’hébergement (qui fournissent des serveurs), les spammeurs (qui transmettent les messages aux victimes à grande échelle), les scanners d’activité (qui valident les numéros de téléphone) et les scanners de listes de blocage (qui vérifient les domaines de phishing par rapport aux listes de blocage connues pour la rotation).
 |
| L’écosystème PhaaS de la Smishing Triad |
L’analyse de l’Unité 42 a révélé que près de 93 200 des 136 933 domaines racine (68,06 %) sont enregistrés auprès de Dominet (HK) Limited, un registraire basé à Hong Kong. Les domaines portant le préfixe « com » représentent une majorité significative, bien qu’il y ait eu une augmentation des enregistrements de domaines « gov » au cours des trois derniers mois.
Parmi les domaines identifiés, 39 964 (29,19 %) étaient actifs depuis deux jours ou moins, 71,3 % d’entre eux étaient actifs depuis moins d’une semaine, 82,6 % d’entre eux étaient actifs depuis deux semaines ou moins et moins de 6 % avaient une durée de vie au-delà des trois premiers mois de leur enregistrement.
« Ce taux de désabonnement rapide démontre clairement que la stratégie de la campagne repose sur un cycle continu de domaines nouvellement enregistrés pour échapper à la détection », a noté la société de cybersécurité, ajoutant les 194 345 noms de domaine pleinement qualifiés (FQDN) utilisés dans la résolution de 43 494 adresses IP uniques, dont la plupart se trouvent aux États-Unis et hébergées sur Cloudflare (AS13335).
Certains des autres aspects saillants de l’analyse des infrastructures sont présentés ci-dessous :
- Le service postal américain (USPS) est le service le plus usurpé avec 28 045 noms de domaine complets.
- Les campagnes utilisant des leurres de services de péage constituent la catégorie la plus usurpée, avec environ 90 000 noms de domaine complets dédiés au phishing.
- L’infrastructure d’attaque des domaines générant le plus grand volume de trafic se trouve aux États-Unis, suivis de la Chine et de Singapour.
- Les campagnes ont imité les banques, les bourses de crypto-monnaie, les services de courrier et de livraison, les forces de police, les entreprises publiques, les péages électroniques, les applications de covoiturage, les services d’accueil, les médias sociaux et les plateformes de commerce électronique en Russie, en Pologne et en Lituanie.
Dans les campagnes de phishing se faisant passer pour des services gouvernementaux, les utilisateurs sont souvent redirigés vers des pages de destination qui réclament des péages et d’autres frais de service impayés, tirant même parfois parti des leurres ClickFix pour les inciter à exécuter du code malveillant sous prétexte d’effectuer une vérification CAPTCHA.
“La campagne de smishing usurpant l’identité des services de péage américains n’est pas isolée”, a déclaré l’Unité 42. “Il s’agit plutôt d’une campagne à grande échelle avec une portée mondiale, usurpant l’identité de nombreux services dans différents secteurs. La menace est hautement décentralisée. Les attaquants s’enregistrent et parcourent quotidiennement des milliers de domaines.”
