01/06/2023

Компания Group-IB сообщает о новой волне мошенничества хакерской группировки, говорящей по-китайски и выдающей себя за государственные органы ОАЭ. Деятельность группировки, получившей название Postal Furious, была впервые задокументирована безопасниками в этом апреле.

Тогда её целью были пользователи Азиатско-Тихоокеанского региона. Хакеры выдавали себя за почтовые компании и операторов междугородной связи. Теперь Group-IB установила, что группировка расширила свою деятельность на ОАЭ.

В начале мая власти ОАЭ предупредили жителей страны о мошеннической кампании, в ходе которой злоумышленники выдавали себя за местного оператора дорожных сборов. Вторая мошенническая схема работала под видом почтовой службы. Центр сопротивления цифровым преступлениям Group-IB в Дубае смог причислить эту кампанию к деятельности Postal Furious.

Согласно данным расследования, жители ОАЭ получают фальшивые сообщения с просьбой срочно оплатить дорожные сборы, чтобы избежать дополнительных штрафов. Текстовые сообщения содержат сокращенный URL-адрес, чтобы скрыть настоящий фишинговый адрес. Как только пользователь нажимает на ссылку, он перенаправляется на поддельную платежную страницу. Цель мошенников — скомпрометировать платёжные данные пользователей. Кампания активна как минимум с 15 апреля 2023 года.

Вторая кампания была запущена 29 апреля. Мошенники использовали те же серверы для размещения другой сети фишинговых сайтов, но подражали почтовому оператору ОАЭ, а доставка ссылок на фишинговые ресурсы велась путём рассылки SMS. Текстовые сообщения отправлены с телефонных номеров, зарегистрированных в Малайзии и Таиланде, а также по адресам электронной почты через iMessage. Эта схема была обнаружена в отношении клиентов нескольких телекоммуникационных компаний ОАЭ.

URL-адреса из текстов ведут на поддельные платёжные страницы, на которых запрашиваются личные данные, такие как имя, адрес и информация о кредитной карте. Фишинговые страницы используют официальное название и логотип реального поставщика почтовых услуг.

Эксперты Group-IB отмечают, что фишинговые сайты используют методы контроля доступа, чтобы избежать автоматического обнаружения и блокировки. Доступ к страницам возможен только с IP-адресов в ОАЭ.

Безопасники приписали обе кампании китайско-язычной фишинговой сети, получившей кодовое название Postal Furious в начале 2023 года. Группировка действует, по крайней мере, с 2021-го. Она способна быстро создавать и менять крупные сетевые инфраструктуры, чтобы избежать обнаружения средствами безопасности.

Фишинговые ресурсы, которые работали в ОАЭ, имеют много общих элементов и кода, которые присутствуют в кампаниях Postal Furious, нацеленных на Азиатско-Тихоокеанский регион. Исходный код фишинговых сайтов, использованных в Арабских Эмиратах, содержал комментарии, написанные на упрощённом китайском языке, которые ранее были выявлены исследователями Group-IB во время изучения деятельности Postal Furious. Эксперты подчеркивают, что группировка каждый день регистрирует новые фишинговые домены, чтобы расширить свою деятельность.