Underc0de - La Casa de los Informáticos

Una investigación reciente de Palo Alto Networks Unit 42 ha revelado una de las campañas de smishing más grandes y sofisticadas registradas hasta la fecha, vinculada al grupo chino conocido como Tríada Smishing. Desde el 1 de enero de 2024, los atacantes han registrado más de 194,000 dominios maliciosos destinados a engañar a usuarios de todo el mundo mediante mensajes de texto fraudulentos.

Este tipo de ataque, basado en el uso de SMS para inducir al error a las víctimas, ha evolucionado hasta convertirse en un ecosistema criminal altamente organizado, donde se combinan ingeniería social, automatización y servicios en la nube para maximizar el impacto y evadir la detección.

Una infraestructura global de smishing

Según el informe, los dominios se registraron a través de Dominet (HK) Limited, un registrador con sede en Hong Kong, mientras que la infraestructura de alojamiento se encuentra mayoritariamente en servicios en la nube de Estados Unidos, como Cloudflare. Este patrón ha permitido a los atacantes operar a gran escala y distribuir sus campañas con gran eficacia.

Los investigadores Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi y Moe Ghasemisharif detallan que la Tríada Smishing ha perfeccionado sus tácticas, aprovechando servicios populares en la nube para ocultar su actividad maliciosa detrás de dominios aparentemente legítimos.

En total, se identificaron 136,933 dominios raíz, de los cuales 93,200 (68,06%) están registrados bajo Dominet. Además, el 71,3% de los dominios estuvieron activos menos de una semana, lo que demuestra una rotación constante de dominios diseñada para evitar bloqueos y listas negras.

Un fraude de escala multimillonaria

El impacto económico de estas operaciones es significativo. Según un informe del Wall Street Journal, las actividades vinculadas a la Tríada Smishing han generado más de mil millones de dólares en ganancias ilícitas durante los últimos tres años.

En paralelo, Fortra advirtió que los kits de phishing asociados con este grupo están evolucionando para atacar cuentas de corretaje y plataformas financieras, buscando obtener credenciales bancarias y códigos de autenticación.

El investigador Alexis Ober explicó que, una vez comprometidas las cuentas, los ciberdelincuentes manipulan los precios del mercado bursátil mediante tácticas de "pump and dump" (rampa y descarga), incrementando los riesgos financieros y eliminando casi por completo las evidencias de su actividad.

Estructura del ecosistema criminal

La Tríada Smishing ha pasado de ser un simple proveedor de kits de phishing a un ecosistema de phishing como servicio (PhaaS) altamente descentralizado.

Este modelo involucra a múltiples actores especializados, entre ellos:

• Desarrolladores de kits de phishing que crean las plantillas de ataque.
• Corredores de datos, que venden bases de números telefónicos segmentados.
• Vendedores de dominios, responsables de registrar sitios falsos desechables.
• Proveedores de alojamiento, que ofrecen servidores en la nube.
• Spammers, encargados de distribuir los SMS a las víctimas.
• Escáneres de vida, que verifican la validez de los números telefónicos.
• Escáneres de listas negras, que validan los dominios activos antes de su despliegue.

Esta estructura cooperativa ha permitido a la Tríada Smishing mantener una operación de rotación diaria de miles de dominios, dificultando su rastreo por las autoridades y empresas de ciberseguridad.

Tácticas y objetivos más suplantados

Entre los servicios más imitados por esta red destacan:

• Servicio Postal de EE. UU. (USPS), con más de 28,000 dominios falsos.
• Servicios de peaje electrónico, que representan cerca de 90,000 dominios de phishing.
• Bancos, plataformas de criptomonedas y servicios de entrega, además de entidades gubernamentales en Rusia, Polonia y Lituania.

En las campañas de phishing que se hacen pasar por servicios gubernamentales o de peaje, las víctimas reciben mensajes que afirman la existencia de multas impagas o cargos por servicios. Al hacer clic en los enlaces, los usuarios son redirigidos a sitios falsos que solicitan información personal o financiera.

En algunos casos, se han observado señuelos tipo ClickFix, que engañan a los usuarios para ejecutar código malicioso bajo el pretexto de completar un CAPTCHA de verificación, instalando malware o troyanos bancarios en los dispositivos.

Evasión y persistencia de la amenaza

El análisis de Unit 42 revela que los 194,345 nombres de dominio completamente calificados (FQDN) resolvían hasta 43,494 direcciones IP únicas, la mayoría alojadas en Cloudflare (AS13335) y ubicadas en los Estados Unidos.

Este uso inteligente de infraestructura legítima permite que las campañas evadan los controles de seguridad, ya que el tráfico parece originarse de fuentes confiables.

La rotación rápida de dominios, la descentralización operativa y el uso de plataformas populares de hosting convierten a esta amenaza en una de las más difíciles de erradicar en el panorama actual.

Una amenaza global en constante expansión

La campaña masiva de smishing liderada por la Tríada Smishing refleja un cambio en la escala y sofisticación de las operaciones de phishing móvil global. Su capacidad para adaptarse, evadir la detección y aprovechar la infraestructura de la nube subraya la necesidad urgente de estrategias de defensa avanzadas y cooperación internacional.

Los expertos recomiendan que los usuarios eviten hacer clic en enlaces sospechosos recibidos por SMS, verifiquen directamente con las entidades supuestamente emisoras y mantengan actualizado su software de seguridad móvil.

Mientras tanto, las organizaciones deben implementar detección proactiva de dominios maliciosos y colaborar con proveedores de infraestructura para interrumpir esta red global de fraude digital.

Fuente: https://thehackernews.com/