Peneliti cybersecurity memperingatkan kampanye phishing SMS “luas dan berkelanjutan” yang menargetkan pengguna jalan tol di Amerika Serikat untuk pencurian keuangan sejak pertengahan Oktober 2024.
“Serangan Smishing Jalan Tol sedang dilakukan oleh beberapa aktor ancaman yang termotivasi secara finansial menggunakan kit Smishing yang dikembangkan oleh 'Wang Duo Yu,'” peneliti Cisco Talos Azim Khodjibaev, Chetan Raghuprasad, dan Joey Chen menilai dengan kepercayaan sedang.
Kampanye phishing, per perusahaan, menyamar sebagai sistem pengumpulan tol elektronik AS seperti E-ZPass, mengirim pesan SMS dan iMessages Apple kepada orang-orang di seluruh Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois, dan Kansas tentang tol yang belum dibayar dan mengklik tautan palsu yang dikirim dalam obrolan.
Perlu dicatat beberapa aspek dari kampanye phishing tol sebelumnya disorot oleh jurnalis keamanan Brian Krebs pada Januari 2025, dengan aktivitas tersebut ditelusuri kembali ke layanan phishing SMS yang berbasis di China yang disebut Lighthouse yang diiklankan di Telegram.
Sementara Apple Imessage secara otomatis menonaktifkan tautan dalam pesan yang diterima dari pengirim yang tidak diketahui, teks -teks Smishing mendesak penerima untuk merespons dengan “y” untuk mengaktifkan tautan – taktik yang diamati dalam kit phishing seperti Darcula dan Xiū gǒu.
Jika korban mengklik tautan dan mengunjungi domain, mereka diminta untuk menyelesaikan tantangan captcha berbasis gambar palsu, setelah itu mereka dialihkan ke halaman e-zpass palsu (misalnya, “EZP-VA[.lcom” or “e-zpass[.]com-etcjr[.]xin “) Di mana mereka diminta untuk memasukkan nama dan kode pos mereka untuk mengakses tagihan.
Target kemudian diminta untuk melanjutkan lebih jauh untuk melakukan pembayaran pada halaman penipuan lain, di mana semua informasi pribadi dan keuangan yang dimasukkan disedot ke aktor ancaman.
Talos mencatat bahwa beberapa aktor ancaman mengoperasikan kampanye smishing jalan tol dengan kemungkinan memanfaatkan kit phishing yang dikembangkan oleh duo Wang Yu, dan bahwa ia telah mengamati kit smishing serupa yang digunakan oleh kelompok cyber cyber yang terorganisir Cina lainnya yang dikenal sebagai Smishing Triad.
Menariknya, duo Wang Yu juga diduga sebagai pencipta kit phishing yang digunakan oleh Smishing Triad, per peneliti keamanan Grant Smith. “Sang Pencipta adalah mahasiswa ilmu komputer saat ini di Cina yang menggunakan keterampilan yang dia pelajari untuk membuat satu sen di samping,” ungkap Smith dalam analisis luas pada Agustus 2024.
Smishing Triad dikenal karena melakukan serangan smishing berskala besar yang menargetkan layanan pos di setidaknya 121 negara, menggunakan umpan pengiriman paket yang gagal untuk membujuk penerima pesan untuk mengklik tautan palsu yang meminta informasi pribadi dan keuangan mereka dengan kedok biaya layanan yang seharusnya untuk pengalihan.
Selain itu, aktor ancaman yang menggunakan kit ini telah berusaha untuk mendaftarkan detail kartu korban ke dalam dompet ponsel, yang memungkinkan mereka untuk menguangkan dana mereka lebih lanjut dalam skala menggunakan teknik yang dikenal sebagai Ghost Tap.
Kit phishing juga telah ditemukan kembali karena informasi kartu kredit/debit yang ditangkap juga dikeluarkan untuk para pencipta, sebuah teknik yang dikenal sebagai pencurian ganda.
“Duo Wang Yu telah membuat dan merancang kit smishing spesifik dan telah menjual akses ke kit ini di saluran telegram mereka,” kata Talos. “Kit tersedia dengan opsi infrastruktur yang berbeda, dengan harga US $ 50 masing-masing untuk pengembangan fitur penuh, masing-masing $ 30 untuk pengembangan proxy (ketika pelanggan memiliki domain dan server pribadi), masing-masing $ 20 untuk pembaruan versi, dan $ 20 untuk semua dukungan lain-lain.”
Pada Maret 2025, kelompok E-Crime diyakini telah memfokuskan upaya mereka pada kit phishing mercusuar baru yang diarahkan untuk memanen kredensial dari bank dan organisasi keuangan di Australia dan wilayah Asia-Pasifik, menurut Silent Push.
Aktor ancaman juga mengklaim memiliki “300+ staf meja depan di seluruh dunia” untuk mendukung berbagai aspek skema penipuan dan uang tunai yang terkait dengan kit phishing.
“Smishing Triad juga menjual kit phishingnya ke aktor ancaman lain yang selaras dengan telegram dan kemungkinan saluran lain,” kata perusahaan itu. “Penjualan ini menyulitkan untuk mengaitkan kit dengan satu subkelompok, sehingga situs -situs saat ini semuanya dikaitkan di sini di bawah payung Smishing Triad.”
Dalam sebuah laporan yang diterbitkan bulan lalu, ProPaft mengungkapkan bahwa mercusuar berbagi tumpang tindih taktis dengan kit phishing seperti Lucid dan Darcula, dan bahwa ia beroperasi secara independen dari grup xinxin, kelompok kejahatan dunia maya di belakang kit yang jernih. Perusahaan Cybersecurity Swiss melacak duo Wang Yu (alias Lao Wang) sebagai Larva-241.
“Analisis serangan yang dilakukan dengan menggunakan panel jernih dan darcula mengungkapkan bahwa mercusuar (duo Lao Wang / Wang Yu) memiliki kesamaan yang signifikan dengan kelompok xinxin dalam hal penargetan, halaman arahan, dan pola penciptaan domain,” kata Prodaft.
Resecurity Perusahaan Cybersecurity, yang merupakan yang pertama mendokumentasikan Smishing Triad pada tahun 2023 dan juga telah melacak kampanye Toll SCAM, mengatakan sindikat Smishing telah menggunakan lebih dari 60.000 nama domain, membuatnya menantang bagi Apple dan Google untuk memblokir aktivitas curang dengan cara yang efektif.
“Menggunakan layanan SMS curah bawah tanah memungkinkan penjahat cyber untuk mengukur operasi mereka, menargetkan jutaan pengguna secara bersamaan,” kata Resecurity. “Layanan ini memungkinkan penyerang untuk secara efisien mengirim ribuan atau jutaan pesan IM yang curang, menargetkan pengguna secara individu atau kelompok pengguna berdasarkan demografi spesifik di berbagai wilayah.”
