Ένα νέο phishing kit με την ονομασία CoGUI φέρεται να ευθύνεται για την αποστολή άνω των 580 εκατομμυρίων κακόβουλων emails το διάστημα Ιανουαρίου – Απριλίου 2025, με σκοπό την υποκλοπή στοιχείων σύνδεσης και πληροφοριών πληρωμής από ανυποψίαστα θύματα.
Οι απάτες αυτές εμφανίζονταν ως επίσημες επικοινωνίες από γνωστές εταιρείες όπως οι Amazon, Rakuten, PayPal, Apple, καθώς και από φορολογικές αρχές και τραπεζικούς οργανισμούς, ώστε να πείσουν τους παραλήπτες να αποκαλύψουν ευαίσθητα δεδομένα.
Τον Ιανουάριο του 2025, εντοπίστηκαν 170 κακόβουλες καμπάνιες που έστειλαν συνολικά πάνω από 172 εκατομμύρια παραπλανητικά μηνύματα (αν και η έντονη δραστηριότητα συνεχίστηκε και τους επόμενους μήνες).
Δείτε επίσης: Ο MintsLoader διανέμει το GhostWeaver μέσω Phishing, ClickFix
Οι ειδικοί της εταιρείας Proofpoint, που εντόπισαν πρώτοι τις εκστρατείες CoGUI, δήλωσαν ότι πρόκειται για την πιο μαζική phishing επιχείρηση που παρακολουθούν αυτή την περίοδο. Κύριος στόχος φαίνεται να είναι η Ιαπωνία, ενώ παράλληλα καταγράφηκαν επιθέσεις μικρότερης κλίμακας σε ΗΠΑ, Καναδά, Αυστραλία και Νέα Ζηλανδία.
Αν και η δραστηριότητα του CoGUI φαίνεται να ξεκίνησε από τον Οκτώβριο του 2024, οι αναλυτές της Proofpoint άρχισαν να την παρακολουθούν στενά από τον Δεκέμβριο και μετά.
Αρχικά, υπήρχαν ενδείξεις σύνδεσης με το phishing kit Darcula, το οποίο έχει αποδοθεί σε ομάδες με έδρα την Κίνα. Ωστόσο, ύστερα από πιο λεπτομερή ανάλυση, οι ερευνητές διέψευσαν άμεση σύνδεση μεταξύ των δύο εργαλείων, αν και και τα δύο χρησιμοποιούνται από κινέζικα δίκτυα απειλών.
Πώς λειτουργεί μια επίθεση με το phishing kit CoGUI
Η επίθεση ξεκινά με ένα phishing email που παρουσιάζεται ως επίσημη επικοινωνία από γνωστές εταιρείες. Συνήθως χρησιμοποιούνται αγχωτικοί τίτλοι (θέμα email) και μηνύματα που ωθούν τον παραλήπτη να αντιδράσει άμεσα.
Δείτε επίσης: Phishing καμπάνια στοχεύει διαχειριστές WooCommerce
Τα μηνύματα περιέχουν έναν σύνδεσμο που οδηγεί σε έναν ιστότοπο – απάτη, ο οποίος φιλοξενείται στην υποδομή του CoGUI. Ωστόσο, ο σύνδεσμος αυτός ενεργοποιείται μόνο αν ο παραλήπτης πληροί συγκεκριμένες προϋποθέσεις που έχουν οριστεί εκ των προτέρων από τους επιτιθέμενους. Αυτά τα φίλτρα περιλαμβάνουν παράγοντες όπως η γεωγραφική τοποθεσία (μέσω IP), η γλώσσα του browser, το λειτουργικό σύστημα, η ανάλυση της οθόνης και το είδος της συσκευής (κινητό ή desktop).
Αν το θύμα δεν πληροί τα κριτήρια, μεταφέρεται αυτόματα στον πραγματικό ιστότοπο της εταιρείας που «μιμήθηκε» το αρχικό μήνυμα, προκειμένου να μη γεννηθούν υποψίες.
Αντίθετα, οι «κατάλληλοι» στόχοι μεταφέρονται σε μια ψεύτικη σελίδα σύνδεσης, η οποία έχει σχεδιαστεί ώστε να μοιάζει απόλυτα με την αυθεντική. Στόχος είναι να κλαπούν διαπιστευτήρια και άλλα ευαίσθητα στοιχεία.
Οι αναλυτές πιστεύουν ότι το CoGUI εξυπηρετεί πολλαπλές ομάδες απειλών, κυρίως με προέλευση την Κίνα, με βασικό στόχο την Ιαπωνία. Παρ’ όλα αυτά, είναι πιθανό το εργαλείο να περάσει στα χέρια άλλων κυβερνοεγκληματιών, επεκτείνοντας έτσι το πεδίο επιθέσεων σε περισσότερες χώρες.
Για την αποφυγή τέτοιων επιθέσεων, οι ειδικοί συνιστούν στους χρήστες να αποφεύγουν παρορμητικές αντιδράσεις σε μηνύματα που ζητούν άμεση ενέργεια, και να επισκέπτονται απευθείας την επίσημη ιστοσελίδα κάθε υπηρεσίας αντί να κάνουν κλικ σε συνδέσμους που εμπεριέχονται σε email.
Δείτε επίσης: Νέα phishing emails μιμούνται τη Google για κλοπή credentials
Έπειτα, θα πρέπει να ενημερώνουν τακτικά το λογισμικό τους, συμπεριλαμβανομένου του λειτουργικού συστήματος και των εφαρμογών. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον χρήστη από τις πιο πρόσφατες απειλές.
Η χρήση ενός αξιόπιστου λογισμικού ασφαλείας, όπως ένα antivirus ή μια εφαρμογή ασφαλείας, μπορεί να βοηθήσει στην προστασία από τις επιθέσεις. Αυτά τα εργαλεία μπορούν να αναγνωρίσουν και να μπλοκάρουν ύποπτες ιστοσελίδες ή μηνύματα που προσπαθούν να κλέψουν τα στοιχεία του χρήστη.
Απαραίτητη είναι και η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για όλους τους διαδικτυακούς λογαριασμούς, ώστε να είναι πιο δύσκολη η πρόσβαση των εισβολέων στις πληροφορίες. Ένα επιπλέον επίπεδο προστασίας είναι και ο έλεγχος ταυτότητας δύο παραγόντων.
Πηγή: www.bleepingcomputer.com
