Una nueva plataforma sofisticada de phishing as-a-Service (PHAAS) indicación Lucid ha dirigido a 169 entidades en 88 países que utilizan mensajes de agradecimiento propagados a través de Apple iMessage y Rich Communication Services (RCS) para Android.
El punto de saldo único de Lucid radica en su armamento de las plataformas de comunicación legítimas para dejar de flanco los mecanismos tradicionales de detección basados en SMS.
«Su maniquí escalable basado en suscripción permite que los ciberdelincuentes realicen campañas de phishing a gran escalera para cosechar detalles de la maleable de crédito para fraude financiero», dijo la compañía suiza de seguridad cibernética ProDaft en un noticia técnico compartido con The Hacker News.
«Lucid aprovecha la tecnología RCS de Apple iMessage y Android, sin suceder por los filtros de spam tradicionales de SMS y aumentando significativamente las tasas de entrega y éxito».
Se evalúa que Lucid es el trabajo de un equipo de piratería de deje china indicación Congregación Xinxin (todavía conocido como Tecnología Negra), con las campañas de phishing que se dirigen principalmente a Europa, el Reino Unido y los Estados Unidos con la intención de robar datos de tarjetas de crédito e información de identificación personal (PII).
Los actores de amenaza detrás del servicio, lo que es más importante, han desarrollado otras plataformas PHAA como Lighthouse y Darcula, la última de las cuales se ha actualizado con capacidades para clonar el sitio web de cualquier marca para crear una traducción de phishing. El desarrollador de Lucid es un actor de amenaza con nombre en código LARVA-242, que todavía es una figura esencia en el familia de xinxina.
Las tres plataformas PHAAS comparten superposiciones en plantillas, piscinas de objetivos y tácticas, aludiendo a una crematística subterránea floreciente donde los actores de deje china están aprovechando el telegrama para anunciar su wáez sobre una suscripción para los motivos basados en las ganancias.
Se ha enfrentado que las campañas de phishing que dependen de estos servicios se hacen suceder por servicios postales, compañías de transporte, sistemas de plazo de peajes y agencias de reembolso de impuestos, empleando a las plantillas de phishing convincentes para que engañen a las víctimas para que proporcionen información delicada.
Las actividades a gran escalera se alimentan en el backend a través de las granjas de dispositivos de iPhone y los emuladores de dispositivos móviles que se ejecutan en los sistemas de Windows para mandar cientos de miles de mensajes de estafas que contienen enlaces falsos de forma coordinada. Los números de teléfono que se dirigirán se adquieren a través de violaciones de datos y listas compradas en foros de delitos cibernéticos.
«Para las restricciones de clic en el enlace de iMessage, emplean ‘por honra responda con las técnicas y’ para establecer una comunicación bidireccional», explicó ProDaft. «Para el filtrado RCS de Google, giran constantemente de remesa de dominios/números para evitar el agradecimiento de patrones».
«Para iMessage, esto implica la creación de ID de Apple temporales con nombres de visualización de suplantación, mientras que la explotación de RCS aprovecha las inconsistencias de implementación del cirujano en la demostración del remitente».
Adicionalmente de ofrecer herramientas de automatización que simplifican la creación de sitios web de phishing personalizables, las páginas en sí incorporan técnicas avanzadas anti-detección y diversión como separación de IP, filtrado de agente de legatario y URL de un solo uso de tiempo prohibido.
Lucid todavía apoya la capacidad de monitorear la actividad de las víctimas y registrar cada interacción con los enlaces de phishing en tiempo efectivo a través de un panel, lo que permite a sus clientes extraer la información ingresada. Los detalles de la maleable de crédito presentados por las víctimas están sujetos a pasos de demostración adicionales. El panel se construye utilizando el ámbito PHP de Webman de código libre.
«El Panel Lucid Phaas ha revelado un ecosistema en gran medida organizado e interconectado de plataformas de phishing como servicio operadas por actores de amenazas de deje china, principalmente bajo el familia Xinxin», dijo la compañía.
«El Congregación Xinxin desarrolla y utiliza estas herramientas y ganancias para entregar información de la maleable de crédito robada mientras monitorea y apoya activamente el expansión de servicios de PHAA similares».
Vale la pena señalar que los hallazgos del espejo PRODAFT que la de la Mecanismo 42 de Palo Stop Networks, que recientemente llamó a los actores de amenaza no especificados para utilizar el patrón de dominio «com-» para registrar más de 10,000 dominios para propagar varias estafas de phishing SMS a través de Apple Imessage.
El expansión se produce cuando Barracuda advirtió sobre un «pico masivo» en los ataques de faas a principios de 2025 utilizando Tycoon 2FA, EvilProxy y Sneaky 2FA, con cada servicio que representa el 89%, 8%y el 3%de todos los incidentes de Phaas, respectivamente.
«Los correos electrónicos de phishing son la puerta de entrada para muchos ataques, desde robo de credenciales hasta fraude financiero, ransomware y más», dijo la investigadora de seguridad de Barracuda Deerendra Prasad. «Las plataformas que alimentan el phishing como servicio son cada vez más complejas y evasivas, lo que hace que los ataques de phishing más fueran para las herramientas de seguridad tradicionales para detectar y más potentes en términos del daño que pueden hacer».
