Stando alle ricerche degli esperti di Resecurity, una nuova e temibile campagna smishing sta prendendo di mira i possessori di iPhone.
I professionisti del settore, infatti, stanno monitorando un gruppo di cybercriminali specializzati nell’impersonare servizi postali e di consegne pacchi. Gli stessi hanno preso di mira gli utenti iPhone statunitensi, mietendo già un numero elevato di vittime.
Per dare l’idea dell’enorme portata della campagna, basta dare uno sguardo ai numeri: durante l’ultima azione del gruppo, in cui lo stesso ha impressionato il servizio USPS (attivo sul territorio americano), ha ottenuto ben 108.000 vittime. Nonostante ciò, come vedremo in seguito, anche l’Italia è interessata da questa minaccia.
Il tutto è stato possibile grazie all’utilizzo di siti Web falsi, ma molto verosimili, nel contesto del tracciamento pacchi. Questi, abbinati a degli SMS malevoli, hanno consentito ai criminali informatici di ottenere un numero enorme di credenziali di pagamento.
Secondo Resecurity, i cybercriminali sfruttano uno strumento definito come “kit smishing“, venduto online da un gruppo di hacker noto come Smishing Triad.
Questo set di strumenti per lo smishing, tra le altre cose, è stato utilizzato in diversi contesti, coinvolgendo anche altri paesi asiatici (come Indonesia, Malesia e Giappone), ma anche del vecchio continente, con alcuni casi registrati anche in Italia.
Le campagne di smishing che inducono le vittime a fornire informazioni personali o dettagli della carta di credito o a scaricare malware sono ad oggi uno stratagemma molto diffuso nel contesto del cybercrimine.
Perché l’ultima campagna di smishing è pericolosa solo per gli utenti iPhone?
Dunque, perché l’ultimo attacco riguarda esclusivamente utenti iPhone?
I ricercatori di Resecurity hanno affermato che l’ultima campagna statunitense differiva dalla maggior parte delle altre perché il contatto con le vittime è stato avviato esclusivamente utilizzando iMessage forniti da account iCloud compromessi.
Mentre attuava la campagna del mese scorso, Smishing Triade ha registrato diversi nuovi nomi di dominio .top con prefissi ingannevoli come usps e usus, dimostrando come questo tipo di attacchi si protrarrà nei prossimi mesi.
Quando il team di Resecurity ha analizzato i kit, ha scoperto una vulnerabilità di SQL injection che è stato in grado di utilizzare per recuperare i dati compromessi di oltre 108.000 vittime della Smishing Triad.
Gli affermatori hanno affermato come “La vulnerabilità era presente in ogni risorsa smishing impostata dal gruppo di minaccia. Ma non è chiaro se gli autori delle minacce abbiano creato deliberatamente questa backdoor o se si trattasse di un difetto di codice non intenzionale“.
Era possibile che i membri chiave della banda avessero progettato la porta sul retro come una sorta di “porta segreta” per intercettare e raccogliere informazioni personali e dati di pagamento che gli utenti del kit stavano raccogliendo.
Per gli esperti, infatti “Tale tecnica è ampiamente utilizzata dai criminali informatici nei ladri di password e nei kit di phishing, consentendo loro di trarre profitto dalle attività dei propri clienti, o almeno di monitorare ininterrottamente la loro attività semplicemente accedendo a un pannello di amministrazione“.