Golpe de pedágio via SMS alcança milhões nos EUA com Kit de Smishing chinês

Pesquisadores de cibersegurança alertam sobre uma campanha "ampla e em andamento" de smishing (phishing por SMS) que tem como alvo motoristas nos Estados Unidos desde meados de outubro de 2024, com o objetivo de roubo financeiro.

Segundo os pesquisadores da Cisco Talos — Azim Khodjibaev, Chetan Raghuprasad e Joey Chen — os ataques são conduzidos por vários hackers com motivações financeiras, utilizando um kit de smishing desenvolvido por "Wang Duo Yu".

As campanhas se passam por sistemas de cobrança eletrônica de pedágios dos EUA, como o E-ZPass, e enviam mensagens SMS e iMessages para pessoas em estados como Washington, Flórida, Pensilvânia, Virgínia, Texas, Ohio, Illinois e Kansas. As mensagens falam sobre um pedágio não pago e incluem um link falso para o suposto pagamento.

Embora o iMessage da Apple desative links recebidos de remetentes desconhecidos, os textos incentivam os usuários a responder com "Y" para ativar o link — uma tática comum em kits de phishing como Darcula e Xiū gǒu. Ao clicar no link, a vítima é redirecionada para uma página falsa que simula o E-ZPass, onde é solicitado que ela insira seu nome e CEP.

Após essa etapa, o alvo é levado a uma segunda página fraudulenta para realizar o pagamento, momento em que suas informações pessoais e financeiras são roubadas pelos hackers. A Cisco Talos identificou que múltiplos invasores estão conduzindo esses ataques com o kit criado por Wang Duo Yu, e que kits similares são usados por outro grupo hacker chinês conhecido como Smishing Triad.

Segundo o pesquisador Grant Smith, Wang Duo Yu — um estudante de ciência da computação na China — também seria o criador dos kits usados pelo Smishing Triad, usando seus conhecimentos para lucrar ilegalmente. Esse grupo é conhecido por ataques de smishing em larga escala, com mensagens de falsas entregas de pacotes em pelo menos 121 países, enganando usuários para obter seus dados sob pretexto de cobrança de taxas de reenvio.

Além disso, os hackers tentam cadastrar os cartões das vítimas em carteiras digitais, permitindo saques em larga escala por meio da técnica conhecida como Ghost Tap. Muitos desses kits têm backdoors, ou seja, além de enviar os dados aos operadores do golpe, também os encaminham para seus criadores — um método chamado de duplo roubo.

A Talos relatou que Wang Duo Yu vende o acesso aos kits por meio de canais no Telegram. Os preços variam de US$ 50 para versões completas, US$ 30 para versões com infraestrutura própria do comprador, e US$ 20 para atualizações e suporte técnico.

Em março de 2025, segundo a Silent Push, o grupo de e-crime passou a concentrar seus esforços em um novo kit chamado Lighthouse, voltado à coleta de credenciais de bancos e instituições financeiras na Austrália e na região Ásia-Pacífico. Os hackers alegam contar com mais de 300 operadores de “atendimento” ao redor do mundo para dar suporte aos golpes.

A Talos também afirma que o Smishing Triad comercializa seus kits para outros hackers, dificultando a atribuição dos golpes a um único grupo. Todos os sites maliciosos ligados a esses kits estão, por ora, associados ao guarda-chuva do Smishing Triad.

A empresa PRODAFT revelou recentemente que o kit Lighthouse apresenta semelhanças táticas com kits como Lucid e Darcula, mas que opera de forma independente do grupo XinXin (criador do kit Lucid). A empresa rastreia Wang Duo Yu, também conhecido como Lao Wang, sob o codinome LARVA-241.

Já a empresa Resecurity, que identificou o Smishing Triad em 2023, estima que o grupo tenha usado mais de 60 mil domínios falsos, dificultando que empresas como Apple e Google bloqueiem os ataques de forma eficaz. De acordo com a Resecurity, hackers utilizam serviços clandestinos de envio massivo de SMS, o que permite atingir milhões de pessoas simultaneamente, com mensagens fraudulentas direcionadas a regiões e perfis específicos.

Via - THN