Los investigadores de ciberseguridad advierten una campaña de phishing SMS «generalizada y continua» que ha estado dirigida a los usuarios de Toll Road en los Estados Unidos para el robo financiero desde mediados de octubre de 2024.
«Los ataques de amenaza de Strishing Road están siendo llevados a límite por múltiples actores de amenaza de motivación financiera que utilizan el kit de amordazos desarrollado por ‘Wang Duo Yu'», los investigadores de Cisco Talos Azim Khodjibaev, Chetan Raghuprasad y Joey Chen evaluaron con confianza moderada.
Las campañas de phishing, según la compañía, se hacen acaecer por sistemas de monasterio de peajes electrónicos de EE. UU. Como E-ZPass, envían mensajes de SMS e iMessage de Apple a personas en Washington, Florida, Pensilvania, Virginia, Texas, Ohio, Illinois y Kansas sobre un peaje no pagado y haciendo clic en un enlace copiado enviado en el chat.
Vale la pena señalar que algunos aspectos de la campaña de phishing de peaje fueron destacados previamente por el periodista de seguridad Brian Krebs en enero de 2025, con la actividad remontada a un servicio de phishing SMS con sede en China llamado Lighthouse que se anuncia en Telegram.
Mientras que Apple iMessage desactiva automáticamente los enlaces en mensajes recibidos de remitentes desconocidos, los textos de amordazos instan a los destinatarios a objetar con «y» para activar el enlace, una táctica observada en kits de phishing como Darcula y Xiū Gǒu.
Si la víctima hace clic en el enlace y visite el dominio, se les solicita que resuelva un desafío CaptCha basado en imágenes falsos, a posteriori de lo cual se redirigen a una página falsa de E-ZPass (por ejemplo, «EZP-VA (.lcom» o «E-ZPass (.) Com-Etcjr (.) Xin») donde se les pide que ingresen su nombre y código ZIP para consentir a la ejecución.
Luego se les pide a los objetivos que continúen más allá para realizar el plazo en otra página fraudulenta, momento en el cual toda la información personal y financiera ingresada se desvía a los actores de amenazas.
Talos señaló que los actores de múltiples amenazas están operando las campañas de stepador de carreteras de peaje al hacer uso de un kit de phishing desarrollado por el dúo de Wang Yu, y que ha observado kits de amordazos similares utilizados por otro asociación de delito cibernético chino conocido como la tríada de amordazos.
Curiosamente, el dúo de Wang Yu además se alega que es el creador de los kits de phishing utilizados por la tríada de amordazos, según el investigador de seguridad Grant Smith. «El creador es un estudiante flagrante de informática en China que está utilizando las habilidades que está aprendiendo a hacer un centavo conveniente paralelo», reveló Smith en un amplio descomposición en agosto de 2024.
La tríada de Smishing es conocida por realizar ataques de amordazos a gran escalera dirigidos a los servicios postales en al menos 121 países, utilizando señuelos de entrega de paquetes fallidos para obtener a los destinatarios de mensajes para que haga clic en enlaces falsos que solicitan su información personal y financiera bajo la apariencia de una supuesta tarifa de servicio para la pertenencia a la entrega.
Adicionalmente, los actores de amenaza que usan estos kits han intentado inscribir los detalles de la polímero de las víctimas en una billetera móvil, lo que les permite cobrar aún más sus fondos a escalera utilizando una técnica conocida como Ghost Tap.
Incluso se ha opuesto que los kits de phishing se encuentran traseros en que la información de la polímero de crédito/débito capturada además se exfiltran a los creadores, una técnica conocida como doble robo.
«El dúo de Wang Yu ha creado y diseñado kits de smishing específicos y ha estado vendiendo golpe a estos kits en sus canales de telegrama», dijo Talos. «Los kits están disponibles con diferentes opciones de infraestructura, con un precio de US $ 50 cada uno para un incremento de funciones completa, $ 30 cada uno para el incremento de proxy (cuando el cliente tiene un dominio personal y un servidor), $ 20 cada uno para actualizaciones de traducción y $ 20 para todos los demás soporte misceláneo».
A partir de marzo de 2025, se cree que el asociación de delitos electrónicos ha centrado sus esfuerzos en un nuevo kit de phishing de faro que está dirigido a la cosecha de credenciales de bancos y organizaciones financieras en Australia y la región de Asia-Pacífico, según Silent Push.
Los actores de amenaza además afirman tener «más de 300 personal de recibo en todo el mundo» para apoyar varios aspectos del fraude y los esquemas de efectivo asociados con el kit de phishing.
«Spondeando Tríada además está vendiendo sus kits de phishing a otros actores de amenazas alineados maliciosamente a través de Telegram y probablemente otros canales», dijo la compañía. «Estas ventas hacen que sea difícil atribuir los kits a cualquier subgrupo, por lo que los sitios se atribuyen actualmente aquí bajo el paraguas de tríada de Smithing».
En un referencia publicado el mes pasado, ProDaft reveló que Lighthouse comparte superposiciones tácticas con kits de phishing como Lucid y Darcula, y que opera independientemente del asociación Xinxin, el asociación cibernético detrás del kit lúcido. La compañía de ciberseguridad suiza está rastreando el dúo Wang Yu (además conocido como Lao Wang) como Oruga-241.
«Un descomposición de los ataques realizados utilizando los paneles lúcidos y Darcula reveló que Lighthouse (dúo de Lao Wang / Wang Yu) comparte similitudes significativas con el asociación de xinxina en términos de orientación, páginas de destino y patrones de creación de dominios», señaló Productaft.
La empresa de seguridad cibernética Resecurity, que fue la primera en documentar la tríada de amordazamiento en 2023 y además ha estado rastreando las campañas de peaje de estafa, dijo que el sindicato de amordazos ha utilizado más de 60,000 nombres de dominio, lo que hace que sea desafiante para Apple y Google para cercar la actividad fraudulenta de modo efectiva.
«El uso de servicios de SMS a abundante subterráneo permite a los ciberdelincuentes progresar sus operaciones, dirigiendo a millones de usuarios simultáneamente», dijo ReseCurity. «Estos servicios permiten a los atacantes dirigir eficientemente miles o millones de mensajes de IM fraudulentos, dirigidos a usuarios individualmente o grupos de usuarios basados en datos demográficos específicos en varias regiones».
