Una nuova piattaforma di phishing-as-a-service: Lucid
Una sofisticata piattaforma di phishing-as-a-service (PhaaS) chiamata Lucid ha preso di mira 169 entità in 88 paesi utilizzando messaggi di smishing propagati tramite Apple iMessage e Rich Communication Services (RCS) per Android. Il punto di forza di Lucid risiede nella sua capacità di sfruttare piattaforme di comunicazione legittime per eludere i tradizionali meccanismi di rilevamento basati su SMS.
Un modello scalabile e basato su abbonamento
Il modello scalabile e basato su abbonamento di Lucid consente ai cybercriminali di condurre campagne di phishing su larga scala per raccogliere dettagli delle carte di credito a scopo di frode finanziaria. Lucid sfrutta la tecnologia di Apple iMessage e RCS di Android, bypassando i tradizionali filtri antispam SMS e aumentando significativamente i tassi di consegna e successo.
Il gruppo XinXin e le loro operazioni
Si ritiene che Lucid sia opera di un gruppo di hacker di lingua cinese chiamato XinXin (noto anche come Black Technology), con campagne di phishing che prendono di mira principalmente l’Europa, il Regno Unito e gli Stati Uniti con l’intento di rubare dati delle carte di credito e informazioni personali identificabili (PII). Gli attori dietro il servizio hanno sviluppato anche altre piattaforme PhaaS come Lighthouse e Darcula, quest’ultima aggiornata con capacità di clonare il sito web di qualsiasi marchio per creare una versione di phishing.
Un’economia sotterranea in crescita
Tutte e tre le piattaforme PhaaS condividono sovrapposizioni in modelli, pool di target e tattiche, alludendo a un’economia sotterranea fiorente dove attori di lingua cinese utilizzano Telegram per pubblicizzare i loro prodotti su base di abbonamento per motivi di profitto. Le campagne di phishing che si basano su questi servizi sono state trovate a impersonare servizi postali, aziende di corrieri, sistemi di pagamento pedaggi e agenzie di rimborso fiscale, utilizzando modelli di phishing convincenti per ingannare le vittime a fornire informazioni sensibili.
Tecniche avanzate di evasione e anti-rilevamento
Le attività su larga scala sono alimentate sul backend tramite fattorie di dispositivi iPhone e emulatori di dispositivi mobili che funzionano su sistemi Windows per inviare centinaia di migliaia di messaggi di truffa contenenti link falsi in modo coordinato. I numeri di telefono da prendere di mira vengono acquisiti attraverso vari metodi come violazioni dei dati e forum di cybercrime. Per le restrizioni di clic sui link di iMessage, utilizzano tecniche di “rispondi con Y” per stabilire una comunicazione bidirezionale. Per il filtraggio RCS di Google, ruotano costantemente i domini/numeri di invio per evitare il riconoscimento dei modelli.
Strumenti di automazione e tecniche di evasione
Oltre a offrire strumenti di automazione che semplificano la creazione di siti web di phishing personalizzabili, le pagine stesse incorporano tecniche avanzate di anti-rilevamento ed evasione come il blocco IP, il filtraggio degli user-agent e URL monouso a tempo limitato. Lucid supporta anche la creazione di ID Apple temporanei con nomi visualizzati impersonati, mentre lo sfruttamento di RCS si avvale delle incoerenze di implementazione dei carrier nella verifica del mittente.
Fonte: The Hackers News
