Nel panorama sempre mutevole della sicurezza informatica, un nuovo kit di phishing chiamato Xiū gǒu sta facendo parlare di sé. Secondo i ricercatori di Netcraft, questo kit è stato utilizzato in campagne mirate a cinque paesi: Australia, Giappone, Spagna, Regno Unito e Stati Uniti, a partire da settembre 2024. Xiū gǒu ha già generato oltre 2.000 siti di phishing falsi con l'obiettivo di attaccare vari settori, tra cui quelli pubblici, postali, dei servizi digitali e bancari.

Caratteristiche del kit Xiū gǒu

Una delle caratteristiche più preoccupanti del kit Xiū gǒu è la sua capacità di sfruttare le funzionalità di Cloudflare per offuscare l'hosting e prevenire il rilevamento, rendendo più difficile per le vittime potenziali proteggersi da questi attacchi. Il kit, sviluppato da un attore di minacce di lingua cinese, è costruito utilizzando tecnologie moderne come Golang e Vue.js, e dispone di un pannello di amministrazione per gestire più facilmente le operazioni di phishing. Attraverso domini di primo livello ".top", il kit riesce a esfiltrare credenziali e altre informazioni sensibili tramite Telegram.

Modalità di attacco

Il phishing kit Xiū gǒu si distingue per la sua innovativa modalità di attacco: invece di utilizzare i tradizionali SMS, le campagne sfruttano i messaggi Rich Communications Services (RCS). Questi messaggi avvertono le vittime di presunte multe per parcheggio o consegne di pacchi fallite, inducendole a cliccare su link abbreviati per pagare le multe o aggiornare i dettagli di consegna. Questo tipo di manipolazione spinge le vittime a fornire dettagli personali e effettuare pagamenti, aggravando il rischio di furto di informazioni sensibili.

La risposta di Google e Cisco Talos

Google ha risposto a queste minacce implementando nuove protezioni per combattere i tentativi di phishing. Tra queste, vi è l'introduzione di modelli di apprendimento automatico per il rilevamento delle truffe direttamente sui dispositivi, in modo da filtrare i messaggi fraudolenti relativi a consegne di pacchi e opportunità di lavoro. Inoltre, Google sta sperimentando avvisi di sicurezza quando gli utenti in alcuni paesi asiatici ricevono messaggi di testo da mittenti sconosciuti contenenti link potenzialmente pericolosi.

Nel frattempo, Cisco Talos ha rivelato che gli utenti di account aziendali e pubblicitari di Facebook a Taiwan sono stati presi di mira in una campagna di phishing che mira a distribuire malware stealer. Questa campagna utilizza messaggi esca che, una volta cliccati, portano la vittima a domini Dropbox o Google Appspot, attivando il download di archivi RAR contenenti eseguibili PDF fasulli. Questi file servono da veicolo per il malware stealer, evidenziando ancora una volta come i kit di phishing come Xiū gǒu possano abbassare la barriera d'ingresso per hacker meno esperti, potenzialmente aumentando il numero di campagne malevole.