O platformă de phishing-as-a-service (PhaaS) numită „Lucid”, practic un serviciu de închiriat servicii de hacking, a vizat 169 de entități din 88 de țări folosind mesaje bine elaborate trimise pe iMessage (iOS) și RCS (Android) raportează BleepingComputer.
Lucid, care a fost operat de infractorii cibernetici chinezi cunoscuți sub numele de „grupul XinXin” de la jumătatea anului 2023, este vândut altor atacatori printr-un model bazat pe abonament care le oferă acces la peste 1.000 de domenii de phishing, site-uri de phishing personalizate generate automat și instrumente de spam de calitate.
Cercetătorii Prodaft notează că XinXin a folosit și platforma Darcula v3 pentru operațiunile sale, ceea ce indică o potențială conexiune între cele două platforme PhaaS.
Abonamentele la Lucid sunt vândute prin intermediul unui canal Telegram dedicat (2.000 de membri), iar clienților li se acordă acces prin licențe săptămânal la operațiuni masive de phishing.
Grupul de hacker pretinde că trimite zilnic 100.000 de mesaje numite și smishing prin Rich Communication Services (RCS) sau Apple iMessage, care sunt criptate end-to-end, permițându-le să evite filtrele de spam.
„Platforma folosește un mecanism de livrare automată a atacurilor, implementând site-uri web de phishing personalizabile distribuite în principal prin momeli bazate pe SMS”, explică Prodaft.
„Pentru a spori eficacitatea, Lucid folosește tehnologia Apple iMessage și Android RCS, ocolind filtrele tradiționale de spam prin SMS și crescând semnificativ ratele de livrare și succes.”
Pe lângă evaziune, utilizarea acestor mesaje face și operațiunea rentabilă, deoarece trimiterea de SMS-uri pe volume comparabile poate avea costuri semnificative.
Operatorii Lucid folosesc fermele de dispozitive iOS și Android pe scară largă pentru a trimite mesaje text. Pentru iMessage, Lucid folosește ID-uri Apple temporare. Pentru RCS, atacatorii exploatează defectele de implementare specifice operatorilor de telecomunicații pentru validarea expeditorului.
Într-un videoclip distribuit de Prodaft, se pot vedea atacatori care desfășoară campanii de phishing din mașini în mișcare, susceptibile de a crește securitatea operațională și de a împiedica forțele de ordine și operatorii de telefonie mobilă să le identifice locația.
Mesajele de phishing pe dispozitive mobile uzurpă de obicei identitatea expedierii, alertelor fiscale sau plăților ratate de taxe, prezentând sigle/branding personalizate, limba potrivită pentru a se potrivi cu demografia țintă și filtrarea victimelor în funcție de locație geografică.
Victimele care fac clic pe link-urile de phishing sunt redirecționate către pagini de destinație false care fură identitatea agențiilor guvernamentale de taxe și parcare sau entități private, cum ar fi USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London și multe altele.
Paginile de phishing sunt concepute pentru a fura informații personale și financiare, inclusiv nume complete, adrese de e-mail, adrese fizice și detalii despre cardul de credit.
Platforma include un validator de card de credit încorporat, astfel încât hackerii să poată testa cardurile furate. Cardurile valide sunt fie vândute altor infractori cibernetici, fie folosite direct pentru fraudă.
Platforme precum Lucid coboară bariera de intrare în operațiunile de criminalitate cibernetică și oferă un nivel mai mare de calitate încercărilor de phishing care cresc șansele de succes pentru atacatori.
Atunci când acest lucru este combinat cu o infrastructură extinsă și rezistentă, aceștia o pot folosi pentru a realiza campanii de phishing la scară largă și foarte bine organizate.
Când primiți un mesaj pe dispozitivul dvs. care vă îndeamnă să urmați un link încorporat sau să răspundeți la mesaj, pur și simplu ignorați-l. În schimb, conectați-vă direct la serviciul real, pe calea utilizată în mod normal, uzual și verificați dacă există alerte sau facturi în așteptare.
