Sofisticirani phishing okvir poznat kao CoGUI pojavio se kao značajna prijetnja, prvenstveno usmjerena na organizacije u Japanu s milionima phishing poruka od oktobra 2024.
Komplet se lažno predstavlja kao popularni potrošački i finansijski brendovi, uključujući Amazon, PayPay, Rakuten i razne finansijske institucije, kako bi prevario korisnike da otkriju osjetljive informacije.
S obimom kampanja koje se kreću od stotina hiljada do desetina miliona poruka, Japan je postao jedna od najciljanijih zemalja na osnovu obima kampanje .
Phishing napadi koriste pažljivo kreirane e-poruke koje imitiraju legitimnu komunikaciju od pouzdanih brendova.
Ove poruke obično stvaraju osjećaj hitnosti, potičući primaoce da kliknu na ugrađene URL-ove koji vode do krivotvorenih stranica za autentifikaciju.
Nakon što budu usmjerene na ove stranice, od žrtava se traži da unesu svoje kredencijale i podatke o plaćanju, koje zatim napadači prikupljaju.
Posljednjih mjeseci, hakeri su čak iskoristili i trenutne događaje, a neke kampanje su koristile mamce na temu carina nakon što je vlada SAD-a najavila recipročne carine.
Istraživači Proofpointa su identifikovali CoGUI phish kit u decembru 2024. godine i od tada prate njegov razvoj i primjenu.
Istraživači su primijetili da je ukupan obim poruka dostigao vrhunac u januaru 2025. godine, sa preko 172 miliona poruka zabilježenih samo tog mjeseca.
Prema analizi Proofpointa, iako japanske organizacije ostaju primarna meta, uočeno je i nekoliko kampanja usmjerenih na korisnike u Australiji, Novom Zelandu, Kanadi i Sjedinjenim Američkim Državama.
Ono što CoGUI čini posebno opasnim su njegove sofisticirane tehnike izbjegavanja i sveobuhvatna priroda podataka koje krade.
.webp)
Pored korisničkih imena i lozinki, ovaj phishing komplet je dizajniran za prikupljanje podataka o platnim karticama, stvarajući značajan finansijski rizik za žrtve.
Ova aktivnost je u skladu s nedavnim izvještajem Japanske agencije za finansijske usluge o povećanim phishing kampanjama koje vode do finansijske krađe.
Napredne tehnike izbjegavanja
CoGUI komplet koristi više slojeva izbjegavanja odbrane što ga čini posebno teškim za otkrivanje.
Centralni dio njihove strategije izbjegavanja je sofisticirano profiliranje pretraživača koje prikuplja informacije uključujući geografsku lokaciju IP adresa, jezičke konfiguracije pretraživača, vrstu i verziju pretraživača, dimenzije ekrana, platformu operativnog sistema i vrstu uređaja.
Ovo profiliranje služi u dvije svrhama: ciljanju određenih žrtava i izbjegavanju automatizovanih sistema za analizu.
Kada potencijalna žrtva posjeti CoGUI phishing stranicu, komplet prvo procjenjuje da li pretraživač ispunjava kriterije ciljanja.
.webp)
Ako je verifikacija profila zadovoljena, isporučuje se phishing stranica osmišljena za krađu podataka. Međutim, ako verifikacija ne uspije, žrtva se preusmjerava na legitimnu web stranicu koja odgovara lažnom brendu, efektivno maskirajući pokušaj napada.
Na primjer, ako phish lažira “Amazon.co.jp” i ne uspije provjeriti identitet, posjetitelj se neprimjetno preusmjerava na legitimnu japansku Amazon web stranicu, ne ostavljajući traga pokušaja napada.
Ovaj sofisticirani pristup ciljanju žrtava i izbjegavanju sandboxa, u kombinaciji s tehnikama geofencinga i ograđivanja interfejsa, pokazuje zašto je CoGUI bio toliko uspješan u svojim kampanjama i zašto Proofpoint procjenjuje da ga vjerovatno koriste višestruki hakeri koji govore kineski, a prvenstveno ciljaju govornike japanskog jezika.
Izvor: CyberSecurityNews
