Xiū Gǒu: китайский “конструктор обмана” проникает в смартфоны через RCS

Исследователи из компании Netcraft раскрылиновый фишинговый набор Xiū gǒu, используемый в кампаниях, нацеленных на Австралию, Японию, Испанию, Великобританию и США, с сентября 2024 года. Специалисты обнаружили более 2000 фишинговых сайтов, созданных с помощью этого набора. Атаки направлены на различные сферы – от государственных структур до почтовых, цифровых и банковских услуг.

Xiū gǒu, созданный китаеязычным разработчиком, упрощает доступ к фишинговым атакам даже для малоквалифицированных хакеров, что может привести к росту числа атак, направленных на кражу конфиденциальной информации. Набор включает админ-панель, разработан с использованием Golang и Vue.js и поддерживает эксфильтрацию данных через Telegram.

Преступники, использующие Xiū gǒu, часто полагаются на возможности Cloudflare для обхода антибот-защит и маскировки хостинга, что затрудняет выявление вредоносных сайтов.

Атаки распространяются через сообщения Rich Communication Services (RCS) с уведомлениями о штрафах за парковку и неудавшейся доставке. В сообщениях содержится сокращённая ссылка для оплаты штрафа или обновления адреса. RCS доступен на iOS 18 через Apple Messages, а также Google Messages для Android. Протокол поддерживает обмен файлами, индикаторы набора текста и шифрование.

Компания Google недавно объявила об улучшениях в защите от фишинга, включая выявление мошеннических сообщений на базе моделей машинного обучения. Пользователи в Индии, Таиланде, Малайзии и Сингапуре смогут получать предупреждения о потенциально опасных ссылках, а функция автоматического скрытия сообщений от международных отправителей, не находящихся в контактах, уже тестируется в Сингапуре.

Public Release.