Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Phishing Bedrohungsakteur der Smishing-Triade

Bedrohungsakteur der Smishing-Triade

Von Mezo in Phishing, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Seit dem 1. Januar 2024 wird eine groß angelegte Smishing-Kampagne mit über 194.000 schädlichen Domains in Verbindung gebracht, die weltweit eine Vielzahl von Diensten ins Visier nimmt. Die Kampagne nutzt irreführende SMS-Nachrichten, um Nutzer zur Preisgabe sensibler Informationen zu verleiten, indem sie sich häufig als Gebührenverstöße oder falsch zugestellte Pakete tarnt.

Obwohl die Domains über einen in Hongkong ansässigen Registrar registriert wurden und chinesische Nameserver verwendet werden, operiert die Angriffsinfrastruktur hauptsächlich von in den USA gehosteten Cloud-Diensten aus, was auf ein global verteiltes Setup hindeutet.

Die Smishing-Triade: Bedrohungsakteure mit Verbindungen zu China

Die Kampagne wird einer mit China verbundenen Gruppe namens Smishing-Triade zugeschrieben, die dafür berüchtigt ist, Mobilgeräte mit betrügerischen Benachrichtigungen zu überfluten. In den letzten drei Jahren erwiesen sich diese Kampagnen als äußerst profitabel und generierten mehr als eine Milliarde US-Dollar für die Täter.

Aktuelle Erkenntnisse deuten auf eine deutliche Weiterentwicklung der Phishing-Taktiken hin. Phishing-Kits zielen zunehmend auf Brokerkonten ab, um Bankdaten und Authentifizierungscodes zu stehlen. Die Angriffe auf diese Konten haben sich im zweiten Quartal 2025 im Vergleich zum Vorjahreszeitraum verfünffacht. Nach erfolgreicher Kompromittierung manipulieren Angreifer Aktienkurse mithilfe von „Ramp-and-Dump“-Strategien und hinterlassen dabei nur minimale Spuren.

Phishing-as-a-Service: Ein gut geöltes kriminelles Ökosystem

Die Smishing-Triade hat sich von einem einfachen Anbieter von Phishing-Kits zu einer hochaktiven Phishing-as-a-Service (PhaaS)-Community entwickelt, die aus mehreren spezialisierten Akteuren besteht:

  • Entwickler von Phishing-Kits – erstellt die Werkzeuge.
  • Datenbroker – liefern Zieltelefonnummern.
  • Domainverkäufer – registrieren Wegwerfdomains zum Hosten von Phishing-Websites.
  • Hosting-Anbieter – warten Server.
  • Spammer – verbreiten betrügerische Nachrichten in großem Umfang.
  • Lebenderkennungsscanner – Überprüfung aktiver Telefonnummern.
  • Blocklistenscanner – Domains werden anhand von Blocklisten auf Rotation überprüft.

Dieses Ökosystem ermöglicht eine schnelle Bereitstellung und ständige Anpassung, was die Erkennung und Störung erschwert.

Domainregistrierungs- und Abwanderungsstrategie

Eine Analyse zeigt, dass fast 93.200 von 136.933 Root-Domains (68,06 %) bei Dominet (HK) Limited registriert sind. Die meisten davon verwenden das Präfix .com, obwohl in den letzten Monaten ein Anstieg bei .gov-Domainregistrierungen zu verzeichnen war.

Die Kampagne setzt stark auf einen schnellen Domainwechsel:

  • 29,19 % der Domains waren zwei Tage oder weniger aktiv.
  • 71,3 % waren weniger als eine Woche aktiv.
  • 82,6 % waren zwei Wochen oder weniger aktiv.
  • Weniger als 6 % überlebten länger als drei Monate.

Diese hohe Fluktuation, kombiniert mit 194.345 FQDNs, die zu 43.494 eindeutigen IPs (hauptsächlich in den USA auf Cloudflare) aufgelöst werden, ermöglicht es den Bedrohungsakteuren, einer Erkennung kontinuierlich zu entgehen.

Einblicke in die Infrastruktur und globale Reichweite

Zu den wichtigsten Erkenntnissen aus der Infrastrukturanalyse der Kampagne gehören:

  • Der US-amerikanische Postdienst ist der am häufigsten imitierte Dienst, mit 28.045 FQDNs.
  • Köder von kostenpflichtigen Diensten dominieren, mit rund 90.000 Phishing-FQDNs.
  • Die Domains mit dem höchsten Traffic werden vorwiegend in den USA gehostet, gefolgt von China und Singapur.

Die Opfer werden in verschiedenen Sektoren ins Visier genommen, darunter Banken, Kryptowährungsbörsen, Lieferdienste, Polizeikräfte, staatliche Unternehmen, Mautdienste, Mitfahr-Apps, Gastgewerbebetriebe, soziale Medien und E-Commerce-Plattformen in Ländern wie Russland, Polen und Litauen.

Bei Kampagnen, die sich als Regierungsbeamte ausgeben, werden Nutzer häufig auf Landingpages umgeleitet, auf denen unbezahlte Mautgebühren oder Servicegebühren behauptet werden. Dabei werden manchmal ClickFix-Köder eingesetzt, um Nutzer dazu zu verleiten, bösartigen Code auszuführen, der als CAPTCHA-Verifizierung getarnt ist.

Dezentrale Bedrohung mit globalen Auswirkungen

Die Smishing-Triade demonstriert globale Reichweite und Dezentralisierung. Angreifer registrieren und nutzen täglich Tausende von Domains, um verschiedene Dienste zu imitieren und so maximale Wirkung zu erzielen. Smishing-Kampagnen gegen US-amerikanische Mautdienste stellen nur eine Facette eines riesigen, hochgradig anpassungsfähigen und profitablen kriminellen Netzwerks dar, das sich stetig weiterentwickelt.

Im Trend

Am häufigsten gesehen

Wird geladen...