SPM55是谁?
虽然SPM55在印尼网络犯罪界相对来说还是个新人,但过去几个月活动和已知客户的显著增加表明,该组织正在寻求扩大业务规模,可能是为了应对印度尼西亚网络钓鱼供应商的竞争崩溃。
SPM55产品的目标是一些流行的服务、技术公司和金融机构。一些例子包括Coinbase、Netflix、亚马逊和Ebay。SPM55的另一个值得注意的特点是,他们愿意根据客户反馈迅速转向,并通过快速发布新的钓鱼工具包来扩大客户基础。此外,SPM55提供点菜信用卡检查器和帐户验证器,经常用于钓鱼凭证和支付数据验证。另一个附加组件是SPM55转售的“antibot”服务。在这种情况下,这种服务降低了自动检测率,并通过识别会话并将会话重定向到无害的网站来阻止安全供应商,如果会话似乎是不真实的(即会话不属于有效的钓鱼目标)。
SPM55钓鱼页面和自定义诱饵似乎专注于典型的“您的帐户已被禁用”类型的钓鱼页面,并且不仅支持帐户凭证字段,还支持网络犯罪社区中通常称为“fullz”或“完整的个人信息”,可用于实施多种类型的欺诈。
SPM55的钓鱼工具包和管理面板是用PHP编写的,与16Shop和Young Sister的破解版本非常相似,有时甚至完全复制,与其他钓鱼工具包相比,SPM55的钓鱼工具包和管理面板的质量高于平均水平,成功率高于平均水平。根据客户偏好,部署和适当授权的钓鱼套件通过电子邮件或电报将受害者数据发送给运营商。值得注意的是,凭据处理似乎也会将受害者信息发送到SPM55控制的管理服务器,可能会向SPM55提供被其客户窃取的凭据副本。被虹吸的数据可能被SPM55管理员出售或用于欺诈目的。总之,SPM55可能会欺骗自己的客户。因为被盗的证书和个人信息也可能会被转移到SPM55管理员那里,所以这种网络钓鱼活动在有能力的网络犯罪分子手中造成伤害的风险很可能是严重的。
SPM55背后
SPM55在印度尼西亚运营,其所有者管理员使用“AlexID”(以及其他)句柄。虽然AlexID不是唯一的SPM55管理员,但他们似乎是该组织的运营者,正如一些最早宣传该服务的帖子所表明的那样,这些帖子将他们列为SPM55的所有者,以及针对“Alex”提出如何处理技术问题的开发人员评论。
这群人对外人越来越怀疑,在与非印尼语使用者做生意时多少有些犹豫,就像俄罗斯网络犯罪团伙利用惯用语作为一种筛选潜在客户的机制一样。SPM55更喜欢使用OVO和DANA这两家印尼支付服务,不过他们也接受比特币和以太坊。尽管对新客户采取了这种看似谨慎的方法,但套件已经找到了一个接受度很高的市场,情报显示,活跃用户的账户数量在数百个,最近新客户数量急剧上升。
与SPM55和参与者相关的基础设施
虽然与SPM55相关的一些基础设施托管在印度尼西亚,但客户基础在全球范围内广泛分布,尼日利亚、巴基斯坦和其他地区的客户在历史上也与网络钓鱼活动有关。与许多此类行为者保持一致的是,由于这些域名可以很容易地提供,并且与滥用此类服务相关的成本和工作量相对较低,因此既有用于网络钓鱼攻击的传统注册域名,也强烈依赖动态DNS提供商。我们包含了一组与SPM55活动相关的ioc,这些ioc突出了这些问题,并给出了许多SPM55参与者的累犯率、注册信息中的枢轴和被动DNS使用虹膜调查显示了与此类参与者相关的更广泛的活动。
对于许多大型组织来说,网络钓鱼仍然是账户接管和账户欺诈活动的最常见载体,导致重大财务损失和品牌损害,因为客户会感受到成为这些犯罪服务受害者的影响。鉴于其在网络钓鱼即服务市场中的普遍存在、持续发展和活动联系,SPM55是一种值得关注的犯罪服务,可以帮助保护组织及其客户免受攻击。
建议
对于受这些网络钓鱼工具影响的公司和品牌来说,通过DomainTools Detect等解决方案监控相似域名可能是识别和破坏活动基础设施的有效方法。乐动体育网址这同样适用于未来可能成为这一群体目标的公司和品牌,因为它们经常根据客户需求进行目标定位。
使用被动DNS数据还有助于识别参与者用于执行此活动的其他域,包括以前可能没有观察到的历史活动,以确定针对品牌的累犯率。
向谷歌安全浏览和其他类似的服务提交违规域名可以帮助防止用户和客户帐户欺诈,损害凭据。
onduties(。com eccoinbase[。com ycoinbase[。com tomlem[]有限公司(。] ke recoveryaccount-alertcoinbaseconfirmation [] 4 pu(。com nugroho-uwu [] duckdns(。[,] oneplacement[]组织工作。com verify-coinbase [] cloudns(。] cl usamanaeem[。]科技sourcesexplore[。com dryousry[。com multandha[。com schooltv[。在thebonbon [,] hopto[。org uyoushop[。] com www。siav[。]应用seuidcnetf [] hopto(。]org help[.]coinbaseaccsecruyh[.]com https://voilas-store[.]com/ accountservices[.]sadte[.]net heronationusa[.]com securitycenter[.]name test[.]zedtunefied[.]com update[.]inteksplus[.]rs authcoinbase[.]com theabrasivepad[.]com securerobinhood[.]com ivenmo[.]com Robinhood-help[.]com upgradeservices[.]online/ servisess[.]com recover-robinhood[.]com actservc[.]com cs-coiinbase[.]com amzonconfirmaccountactivityupdate[.]ednbkxv[.]com indra-ganteng[.]duckdns[.]org jalanjalan[.]ddnsking[.]com movismaps[.]com https://naireport[.]com/ service-robinhooddsupportacount[.]duckdns[.]org ferdiesoccermagic[.]com www[.]kotapride[.]in rcchilddevelopmentcentre[.]com update-id-check[.]online myproject[.]zzux[.]com ngetes-sc-spm55[.]duckdns[.]org https://www[.]fngs[.]in/ amazonsmilee[.]sytes[.]net serv-actservicebilnaire[.]com aptserv-sikat[.]com secure-chasebanks[.]com spm55-gadakobat[.]duckdns[.]org tesbroo[.]com hegar[.]com[.]mx getazkaweb[.]com ymailinfounusual[.]duckdns[.]org sport5jarilah[.]duckdns[.]org confirm[.]amz[.]update[.]account-id[.]sicrn[.]valid[.]database[.]uknown-information[.]iknasuf83g[.]co mail-robinhoodsvice[.]servequake[.]com jrcivils[.]co[.]uk amazonservicesweb[.]myvnc[.]com demo-robinhood[.]wikaba[.]com cainbesecok[.]robin03[.]biz revard[.]uz auth-accounts-settings-policy[.]com resolution-center-regarding-access[.]com verify-identitycb[.]ddns[.]net accoun-verifycb[.]ddns[.]net verify-authsignin[.]duckdns[.]org ap-robinhoodseic[.]servequake[.]com identification-cb[.]ddns[.]net encrypt3d[.]com[.]mx secureappmailamzon[.]servequake[.]com robbb[.]ddnsking[.]com pen[.]serveftp[.]com app-amznemailuseras[.]servequake[.]com auth-restore-restricted-access[.]com be-amzonseacureappmaile[.]serveuser[.]com veri1fyacc0ount4amz[.]ns02[.]us amzu-supporterervis[.]duckdns[.]org web-apps[.]amazon[.]infosystem[.]cl amazonfullupdate[.]serveuser[.]com amzonaccounverif[.]serveusers[.]com dontredagain[.]duckdns[.]org coinbase[.]usps-care[.]us foryoumeadlind[.]001www[.]com redflagkntl[.]duckdns[.]org em-suppsecureamz0neas[.]edns[.]biz secure05c-chseonline[.]duckdns[.]org cha-mailteamamzonea[.]serveuser[.]com www3-pypalservice-resolvecenter[.]duckdns[.]org makananenak[.]hopto[.]org
