O serviço phishing-as-a-service (PhaaS) conhecido como Lighthouse e Lucid está associado a mais de 17.500 domínios de phishing, que têm como alvo 316 marcas em 74 países.
Segundo relatório recente da Netcraft, “as operações de Phishing-as-a-Service (PhaaS) cresceram significativamente nos últimos tempos”.
Esses serviços cobram uma mensalidade pelo uso de softwares de phishing já equipados com templates que imitam, em alguns casos, centenas de marcas de diversos países.
O kit de phishing Lucid foi identificado pela empresa suíça de cibersegurança PRODAFT em abril deste ano.
A análise revelou que ele é capaz de enviar mensagens do tipo smishing via Apple iMessage e Rich Communication Services (RCS) no Android.
Acredita-se que o Lucid seja obra do grupo de ameaças falante de mandarim conhecido como XinXin (changqixinyun).
Esse grupo também utiliza outras ferramentas para phishing, como Lighthouse e Darcula.
O kit Darcula é desenvolvido por um ator identificado como LARVA-246 (também conhecido como X667788X0 ou xxhcvv), enquanto o Lighthouse está ligado a LARVA-241 (apelidado de Lao Wang ou Wang Duo Yu).
A plataforma Lucid permite que seus clientes lancem campanhas de phishing em larga escala, direcionadas a diversos setores, incluindo empresas de pedágio, órgãos governamentais, companhias postais e instituições financeiras.
Para aumentar a eficácia, as campanhas podem exigir critérios específicos, como um User-Agent móvel determinado, país do proxy ou um caminho configurado pelo fraudador.
Caso um usuário não autorizado visite o link, ele é redirecionado a uma página genérica falsa, simulando uma loja legítima.
No total, a Netcraft identificou 164 marcas em 63 países sendo alvo de URLs de phishing hospedados pela plataforma Lucid.
Já os URLs associados ao Lighthouse atingem 204 marcas em 50 países.
Assim como o Lucid, o Lighthouse oferece personalização dos templates e monitoramento em tempo real das vítimas.
A ferramenta conta com mais de 200 templates para phishing, o que demonstra grande similaridade entre os dois kits.
O preço do Lighthouse varia de US$ 88 para uma semana até US$ 1.588 para assinatura anual.
Em relatório de abril, a PRODAFT destacou que, embora o Lighthouse opere independentemente do grupo XinXin, sua infraestrutura e padrões de ataque indicam uma tendência clara de colaboração e inovação dentro do ecossistema PhaaS.
Campanhas usando o Lighthouse já foram flagradas com URLs que imitavam o serviço postal albanês Posta Shqiptare, mas apresentavam o mesmo site falso a visitantes não-alvo — reforçando a possível conexão com o Lucid.
“Lucid e Lighthouse ilustram o quanto essas plataformas podem crescer e evoluir rapidamente, além da dificuldade em interromper suas operações”, comentou Harry Everett, pesquisador da Netcraft.
A Netcraft também revelou que ataques de phishing estão migrando de canais como Telegram para o email, que tem apresentado aumento de 25% na detecção de campanhas em apenas um mês.
Enquanto o Telegram deixa de ser um porto seguro para esses criminosos, o email volta a ser a principal via para coleta de credenciais roubadas.
Além disso, criminosos têm usado serviços como EmailJS para colher dados de login e códigos de autenticação de dois fatores (2FA), evitando a necessidade de montar e manter sua própria infraestrutura.
“O ressurgimento do email ocorre porque sua natureza federada dificulta a remoção dos sites maliciosos.
Cada endereço ou servidor SMTP precisa ser reportado individualmente, diferente de plataformas centralizadas como Discord ou Telegram”, explica o pesquisador de segurança Penn Mackintosh.
“Além disso, criar um endereço descartável no email permanece rápido, anônimo e praticamente gratuito.”
A investigação também identificou o uso de domínios falsos que empregam o caractere japonês Hiragana “ん” para enganar usuários com URLs quase idênticas aos legítimos — um ataque conhecido como homoglyph.
Mais de 600 domínios com essa técnica foram detectados em ataques voltados a usuários de criptomoedas, com registros desde 25 de novembro de 2024.
Esses sites imitam extensões legítimas do Chrome Web Store, enganando usuários a instalarem aplicativos falsos de carteiras digitais, como Phantom, Rabby, OKX, Coinbase, MetaMask, Exodus, PancakeSwap, Bitget e Trust.
Esses apps maliciosos coletam informações do sistema e frases-semente, permitindo que os invasores controlem completamente as carteiras das vítimas.
“À primeira vista, o caractere ‘ん’ se assemelha a uma barra ‘/’ e, quando inserido em um nome de domínio, torna o endereço convincente.
Essa pequena substituição é suficiente para criar um domínio de phishing que parece real — justamente o objetivo dos criminosos ao roubar logins, dados pessoais e distribuir malware”, detalha a Netcraft.
Nos últimos meses, golpes também exploraram marcas americanas como Delta Airlines, AMC Theatres, Universal Studios e Epic Records.
Nesses esquemas, vítimas são atraídas a realizar tarefas, como atuar como agentes de reserva de voos, prometendo ganhos em dinheiro.
Porém, para participar, as vítimas precisam fazer depósitos em criptomoedas, a partir de US$ 100, que acabam sendo apropriados pelos criminosos.
“Esse golpe mostra como atores oportunistas usam templates de impersonificação de marcas, acionados via API, para escalar fraudes financeiras em diversos setores”, ressalta Rob Duncan, pesquisador da Netcraft.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...