Uma plataforma de Phishing-as-a-Service (PhaaS) chamada 'Lucid' tem como alvo 169 entidades em 88 países, utilizando mensagens bem elaboradas enviadas por iMessage (iOS) e RCS (Android).
Operada por cibercriminosos chineses conhecidos como o grupo 'XinXin' desde meados de 2023, a Lucid é vendida a outros agentes de ameaças por meio de um modelo baseado em assinatura, que lhes dá acesso a mais de 1.000 domínios de phishing, sites de phishing auto-gerados sob medida e ferramentas de spam de nível profissional.
Pesquisadores da Prodaft notam que o XinXin também tem usado a plataforma Darcula v3 para suas operações, o que indica uma possível conexão entre as duas plataformas PhaaS.
Assinaturas da Lucid são vendidas via um canal dedicado do Telegram (2.000 membros), e clientes obtêm acesso por meio de licenças numa base semanal.
O grupo de ameaças afirma enviar 100.000 mensagens de smishing diariamente via Rich Communication Services (RCS) ou Apple iMessage, que são criptografadas de ponta a ponta, permitindo que elas evitem filtros de spam.
"A plataforma emprega um mecanismo de entrega de ataque automatizado, implementando sites de phishing personalizáveis distribuídos principalmente através de iscas baseadas em SMS," explica a Prodaft.
Para aumentar a eficácia, a Lucid aproveita a tecnologia Apple iMessage e RCS do Android, contornando filtros de spam SMS tradicionais e aumentando significativamente as taxas de entrega e sucesso.
Além da evasão, o uso dessas mensagens também torna a operação custo-efetiva, já que enviar SMS em volumes comparáveis pode ter custos significativos.
Operadores da Lucid usam fazendas de dispositivos iOS e Android em larga escala para enviar mensagens de texto.
Para o iMessage, a Lucid usa Apple IDs temporários.
Para RCS, os agentes de ameaças exploram falhas específicas de implementação das operadoras na validação do remetente.
Em um vídeo compartilhado pela Prodaft, você pode ver agentes de ameaças conduzindo campanhas de phishing de dentro de carros em movimento, potencialmente para aumentar a segurança operacional e demonstrar a facilidade de uso da plataforma.
"O principal propósito de mostrar mensagens de phishing sendo enviadas de dispositivos de vítimas enquanto dirigem é demonstrar como as pessoas podem facilmente se envolver nessas operações", disse a Prodaft.
Alguns agentes de ameaças podem ser atraídos por campanhas de spam de baixo risco e baixo lucro que requerem habilidades técnicas mínimas ou infraestrutura—muitas vezes dependendo de ferramentas de virtualização ou dispositivos físicos reaproveitados para automatizar a entrega de mensagens em escala.
As mensagens de phishing móvel geralmente se passam por alertas de envio, impostos ou pagamentos de pedágio perdidos, apresentando logotipos/marcas personalizados, a linguagem apropriada para combinar com o demográfico-alvo e filtragem de vítimas por geolocalização.
Vítimas que clicam nos links de phishing são redirecionadas para páginas de destino falsas que se passam por agências governamentais de pedágio e estacionamento ou entidades privadas, como USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London, e mais.
As páginas de phishing são projetadas para roubar informações pessoais e financeiras, incluindo nomes completos, endereços de email, endereços físicos e detalhes de cartões de crédito.
A plataforma inclui um validador de cartão de crédito integrado para que os atores possam testar os cartões roubados.
Cartões válidos são vendidos a outros cibercriminosos ou usados diretamente para fraudes.
Plataformas como a Lucid baixam a barreira de entrada para operações de cibercrime e garantem um certo nível de qualidade nas tentativas de phishing que aumentam as chances de sucesso para os atacantes.
Quando isso é combinado com uma infraestrutura extensa e resiliente, os agentes de ameaças podem aproveitá-la para realizar campanhas de phishing em massa e altamente organizadas.
Ao receber uma mensagem em seu dispositivo pedindo para seguir um link incorporado ou responder à mensagem, simplesmente ignore.
Em vez disso, faça login diretamente no serviço real e verifique se há alertas ou contas pendentes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...