Smishing Triad مرتبط بـ 194000 نطاق ضار في عملية التصيد العالمية

24 أكتوبر 2025رافي لاكشمانانخرق البيانات / الجرائم الإلكترونية

تُعزى الجهات الفاعلة في مجال التهديد الذي يقف وراء حملة التصيد الاحتيالي واسعة النطاق والمستمرة إلى أكثر من 194000 نطاق ضار منذ 1 يناير 2024، تستهدف مجموعة واسعة من الخدمات في جميع أنحاء العالم، وفقًا للنتائج الجديدة التي توصلت إليها وحدة Palo Alto Networks Unit 42.

“على الرغم من أن هذه النطاقات مسجلة من خلال مسجل مقره هونج كونج وتستخدم خوادم أسماء صينية، إلا أن البنية التحتية للهجوم تتم استضافتها بشكل أساسي على الخدمات السحابية الأمريكية الشهيرة،” الباحثون الأمنيون ريثيكا راميش، وزانهاو تشين، ودايبينغ ليو، وتشي-وي ليو، وشهروز فاروقي، ومو قاسمي شريف. قال.

ويُنسب هذا النشاط إلى مجموعة مرتبطة بالصين تعرف باسم ثالوث التصيد الاحتيالي، والتي من المعروف أنها تغمر الأجهزة المحمولة بانتهاكات احتيالية لرسوم المرور وإشعارات تسليم الحزمة الخاطئة لخداع المستخدمين لاتخاذ إجراءات فورية وتقديم معلومات حساسة.

وقد أثبتت هذه الحملات أنها مربحة، حيث سمحت للجهات الفاعلة في مجال التهديد بجني أكثر من مليار دولار على مدى السنوات الثلاث الماضية، وفقًا لتقرير حديث صادر عن صحيفة وول ستريت جورنال.

وفي تقرير نُشر في وقت سابق من هذا الأسبوع، قالت Fortra إن مجموعات التصيد المرتبطة بـ Smishing Triad تُستخدم لاستهداف حسابات الوساطة بشكل متزايد للحصول على بيانات الاعتماد المصرفية ورموز المصادقة، حيث شهدت الهجمات التي استهدفت هذه الحسابات قفزة خمسة أضعاف في الربع الثاني من عام 2025 مقارنة بنفس الفترة من العام الماضي.

“بمجرد اختراق المهاجمين، يتلاعبون بأسعار سوق الأسهم باستخدام تكتيكات “المنحدر والتفريغ”،” الباحث الأمني ​​أليكسيس أوبر قال. “هذه الأساليب لا تترك أي أثر ورقي تقريبا، مما يزيد من المخاطر المالية التي تنشأ عن هذا التهديد.”

ويقال إن المجموعة العدائية قد تطورت من مزود أدوات التصيد الاحتيالي المخصص إلى “مجتمع نشط للغاية” يجمع بين جهات تهديد مختلفة، يلعب كل منها دورًا حاسمًا في النظام البيئي للتصيد الاحتيالي كخدمة (PhaaS).

يتضمن ذلك مطوري أدوات التصيد الاحتيالي، ووسطاء البيانات (الذين يبيعون أرقام الهواتف المستهدفة)، وبائعي النطاقات (الذين يسجلون نطاقات يمكن التخلص منها لاستضافة مواقع التصيد الاحتيالي)، ومقدمي خدمات الاستضافة (الذين يقدمون الخوادم)، ومرسلي البريد العشوائي (الذين يسلمون الرسائل إلى الضحايا على نطاق واسع)، والماسحات الضوئية الحيوية (التي تتحقق من صحة أرقام الهواتف)، وماسحات قوائم الحظر (التي تتحقق من نطاقات التصيد الاحتيالي مقابل قوائم الحظر المعروفة للتناوب).

النظام البيئي PhaaS لـ Smishing Triad

كشف تحليل Unit 42 أن ما يقرب من 93,200 من أصل 136,933 نطاقًا جذريًا (68.06%) مسجلة تحت شركة Dominet (HK) Limited، وهي شركة تسجيل مقرها في هونغ كونغ. تمثل النطاقات ذات البادئة “com” أغلبية كبيرة، على الرغم من حدوث زيادة في تسجيل النطاقات “gov” في الأشهر الثلاثة الماضية.

من بين النطاقات المحددة، كان 39,964 (29.19%) نشطًا لمدة يومين أو أقل، و71.3% منها كان نشطًا لمدة أقل من أسبوع، و82.6% منها كان نشطًا لمدة أسبوعين أو أقل، وأقل من 6% كان عمره يتجاوز الأشهر الثلاثة الأولى من تسجيله.

وأشارت شركة الأمن السيبراني إلى أن “هذا التغير السريع يوضح بوضوح أن استراتيجية الحملة تعتمد على دورة مستمرة من النطاقات المسجلة حديثًا لتجنب الكشف”، مضيفة 194345 اسم نطاق مؤهل بالكامل (FQDNs) مستخدمة في الحل إلى ما يصل إلى 43494 عنوان IP فريدًا، معظمها في الولايات المتحدة ويتم استضافتها على Cloudflare (AS13335).

فيما يلي بعض الجوانب البارزة الأخرى لتحليل البنية التحتية –

• تعد خدمة البريد الأمريكية (USPS) هي الخدمة الأكثر انتحالًا مع 28.045 FQDNs.
• الحملات التي تستخدم إغراءات الخدمات المدفوعة هي الفئة الأكثر انتحالًا، مع حوالي 90.000 شبكة FQDN مخصصة للتصيد الاحتيالي.
• تقع البنية التحتية للهجوم للنطاقات التي تولد أكبر حجم من حركة المرور في الولايات المتحدة، تليها الصين وسنغافورة.
• وقد قامت الحملات بمحاكاة البنوك، وتبادل العملات المشفرة، وخدمات البريد والتسليم، وقوات الشرطة، والمؤسسات المملوكة للدولة، ورسوم المرور الإلكترونية، وتطبيقات مشاركة السيارات، وخدمات الضيافة، ووسائل التواصل الاجتماعي، ومنصات التجارة الإلكترونية في روسيا وبولندا وليتوانيا.

في حملات التصيد الاحتيالي التي تنتحل صفة الخدمات الحكومية، غالبًا ما تتم إعادة توجيه المستخدمين إلى الصفحات المقصودة التي تطالب برسوم غير مدفوعة ورسوم خدمات أخرى، وفي بعض الحالات يتم الاستفادة من إغراءات ClickFix لخداعهم لتشغيل تعليمات برمجية ضارة بحجة إكمال فحص CAPTCHA.

وقالت الوحدة 42: “إن حملة التصيد الاحتيالي التي تنتحل هوية خدمات تحصيل الرسوم الأمريكية ليست معزولة”. “إنها بدلاً من ذلك حملة واسعة النطاق ذات امتداد عالمي، تنتحل صفة العديد من الخدمات عبر قطاعات مختلفة. التهديد لا مركزي للغاية. يقوم المهاجمون بالتسجيل والتنقل عبر آلاف النطاقات يوميًا.”