Pemburu ancaman telah mengekspos kampanye baru yang memanfaatkan teknik keracunan Optimasi Mesin Pencari (SEO) untuk menargetkan perangkat seluler karyawan dan memfasilitasi penipuan penggajian.
Kegiatan tersebut, pertama -tama terdeteksi oleh Reliaquest pada Mei 2025 yang menargetkan pelanggan yang tidak disebutkan namanya di sektor manufaktur, ditandai dengan penggunaan halaman login palsu untuk mengakses portal penggajian karyawan dan mengarahkan kembali gaji ke dalam akun di bawah kendali aktor ancaman.
“Infrastruktur penyerang menggunakan router kantor rumah dan jaringan seluler yang dikompromikan untuk menutupi lalu lintas mereka, menghindari deteksi dan tergelincir melewati langkah -langkah keamanan tradisional,” kata perusahaan cybersecurity dalam analisis yang diterbitkan minggu lalu.
“Musuh yang secara khusus menargetkan perangkat seluler karyawan dengan situs web palsu yang menyamar sebagai halaman login organisasi. Dipersenjatai dengan kredensial curian, musuh mendapatkan akses ke portal penggajian organisasi, mengubah informasi setoran langsung, dan mengarahkan kembali gaji karyawan ke akun mereka sendiri.”
Sementara serangan belum dikaitkan dengan kelompok peretasan tertentu, Reliaquest mengatakan itu adalah bagian dari kampanye yang lebih luas dan berkelanjutan karena dua insiden serupa yang diselidiki pada akhir 2024.
Semuanya dimulai ketika seorang karyawan mencari portal penggajian perusahaan mereka di mesin pencari seperti Google, dengan situs web yang mirip menipu muncul ke bagian atas hasil menggunakan tautan yang disponsori. Mereka yang akhirnya mengklik tautan palsu diarahkan ke situs WordPress yang mengarahkan ke halaman phishing meniru portal login Microsoft ketika dikunjungi dari perangkat seluler.
Kredensial yang dimasukkan pada halaman pendaratan palsu kemudian diusir ke situs web yang dikendalikan penyerang, sementara juga membuat koneksi Websocket dua arah untuk mengingatkan aktor ancaman kata sandi curian menggunakan Push Notification API yang ditenagai oleh Pusher.
Ini memberi penyerang kesempatan untuk menggunakan kembali kredensial sesegera mungkin sebelum mereka diubah dan mendapatkan akses tidak sah ke sistem penggajian.
Selain itu, penargetan perangkat seluler karyawan menawarkan keunggulan dua kali lipat karena mereka tidak memiliki langkah-langkah keamanan tingkat perusahaan yang biasanya tersedia di komputer desktop dan mereka terhubung di luar jaringan perusahaan, secara efektif mengurangi visibilitas dan menghambat upaya investigasi.
“Dengan menargetkan perangkat seluler yang tidak terlindungi yang tidak memiliki solusi keamanan dan penebangan, taktik ini tidak hanya menghindari deteksi tetapi juga mengganggu upaya untuk menganalisis situs web phishing,” kata Reliaquest. “Ini mencegah tim keamanan memindai situs dan menambahkannya ke indikator kompromi (IOC) ancaman feeds, lebih lanjut memperumit upaya mitigasi.”
Dalam upaya lebih lanjut untuk menghindari deteksi, upaya login jahat telah ditemukan berasal dari alamat IP perumahan yang terkait dengan router kantor rumah, termasuk yang dari merek seperti Asus dan Pakedge.
Ini menunjukkan bahwa para aktor ancaman mengeksploitasi kelemahan seperti kelemahan keamanan, kredensial default, atau salah konfigurasi lain yang sering mengganggu perangkat jaringan tersebut untuk meluncurkan serangan kekuatan kasar. Router yang dikompromikan kemudian terinfeksi malware yang mendaftarkannya ke botnet proxy, yang akhirnya disewakan ke penjahat cyber.
“Ketika penyerang menggunakan jaringan proxy, terutama yang terkait dengan alamat IP perumahan atau seluler, mereka menjadi lebih sulit bagi organisasi untuk mendeteksi dan menyelidiki,” kata Reliaquest. “Tidak seperti VPN, yang sering ditandai karena alamat IP mereka telah disalahgunakan sebelumnya, alamat IP perumahan atau seluler memungkinkan penyerang terbang di bawah radar dan menghindari diklasifikasikan sebagai jahat.”
“Terlebih lagi, jaringan proxy memungkinkan penyerang untuk membuat lalu lintas mereka terlihat seperti berasal dari lokasi geografis yang sama dengan organisasi target, melewati langkah -langkah keamanan yang dirancang untuk menandai login dari lokasi yang tidak biasa atau mencurigakan.”
Pengungkapan itu datang ketika Hunt.io merinci kampanye phishing yang menggunakan halaman web layanan file adobe yang palsu untuk mencuri kredensial login Microsoft Outlook dengan dalih memungkinkan akses ke file yang konon dibagikan dengan kontak. Halaman, per perusahaan, dikembangkan menggunakan kit phishing W3LL.
Ini juga bertepatan dengan penemuan kit phishing baru dengan nama kode Cogui yang digunakan untuk secara aktif menargetkan organisasi Jepang dengan menyamar sebagai merek konsumen dan keuangan terkenal seperti Amazon, PayPay, MyJCB, Apple, Orico, dan Rakuten. Sebanyak 580 juta email telah dikirim antara Januari dan April 2025 sebagai bagian dari kampanye menggunakan kit.
“Cogui adalah kit canggih yang menggunakan teknik penghindaran canggih, termasuk geofencing, tajuk pagar, dan sidik jari untuk menghindari deteksi dari sistem penelusuran otomatis dan kotak pasir,” kata perusahaan keamanan perusahaan Proofpoint dalam analisis yang dirilis bulan ini. “Tujuan kampanye adalah untuk mencuri nama pengguna, kata sandi, dan data pembayaran.”
Email phishing yang diamati dalam serangan termasuk tautan yang mengarah ke situs web phishing kredensial. Yang mengatakan, perlu dicatat bahwa kampanye Cogui tidak termasuk kemampuan untuk mengumpulkan kode otentikasi multi-faktor (MFA).
Cogui dikatakan telah digunakan sejak setidaknya Oktober 2024, dan diyakini memiliki beberapa kesamaan dengan toolkit phishing terkenal lainnya dengan nama Darcula-menunjukkan bahwa yang pertama dapat menjadi bagian dari ekosistem Phaas Cina yang sama yang dijuluki Smishing Triad yang juga mencakup nucid dan lighthouse.
Yang mengatakan, satu aspek penting yang memisahkan Darcula dari Cogui adalah bahwa yang pertama lebih fokus pada ponsel dan smishing, dan bertujuan untuk mencuri detail kartu kredit.
“Darcula menjadi lebih mudah diakses, baik dalam hal biaya dan ketersediaan, sehingga dapat menimbulkan ancaman yang signifikan di masa depan,” kata Propaft kepada Hacker News dalam sebuah pernyataan. “Di sisi lain, Lucid terus tetap di bawah radar. Masih menantang untuk mengidentifikasi kit phishing hanya dengan melihat pesan SMS atau pola URL, karena mereka sering menggunakan layanan pengiriman umum.”
Kit Smishing baru yang dapat disesuaikan lainnya yang telah keluar dari lanskap kejahatan dunia maya Cina adalah Panda Shop, yang menggunakan jaringan saluran telegram dan bot interaktif untuk mengotomatiskan pemberian layanan. Halaman phishing dirancang untuk meniru merek populer dan layanan pemerintah untuk mencuri informasi pribadi. Data kartu kredit yang dicegat dikirim ke toko -toko carding bawah tanah dan dijual ke penjahat cyber lainnya.
“Khususnya, sindikat penjahat cyber Cina yang terlibat dalam Smishing adalah kurang ajar karena mereka merasa tidak tersentuh,” kata Resecurity. “Mereka telah menekankan dalam komunikasi mereka bahwa mereka tidak peduli dengan lembaga penegak hukum AS. Tinggal di Cina, mereka menikmati kebebasan bertindak penuh dan terlibat dalam banyak kegiatan ilegal.”
Resecurity, yang mengidentifikasi toko Panda pada bulan Maret 2025, mengatakan aktor ancaman mengoperasikan model kejahatan sebagai layanan yang mirip dengan Smishing Triad, menawarkan pelanggan kemampuan untuk mendistribusikan pesan Smishing melalui Apple Imessage dan Android RC menggunakan akun Apple dan Gmail yang dikompromikan yang dibeli dalam curah.
Dipercayai bahwa Panda Shop termasuk anggota Smishing Triad berdasarkan kesamaan dalam kit phishing yang digunakan. Sejumlah aktor ancaman juga telah diamati memanfaatkan kit Smishing untuk Google Wallet dan Apple Pay Fraud.
“Para aktor di balik kampanye Smishing terkait erat dengan mereka yang terlibat dalam penipuan pedagang dan kegiatan pencucian uang,” kata Resecurity. “Smishing adalah salah satu katalis utama di balik kegiatan carding, memberikan penjahat cyber dengan volume substansial dari data yang dikompromikan yang dikumpulkan dari para korban.”
