Platform phishing-as-a-service (PHAAS) canggih baru yang disebut Lucid telah menargetkan 169 entitas di 88 negara menggunakan pesan smishing yang disebarkan melalui Apple iMessage dan Rich Communication Services (RCS) untuk Android.
Titik jual yang unik Lucid terletak pada persenjataan platform komunikasi yang sah untuk menghindari mekanisme deteksi berbasis SMS tradisional.
“Model berbasis langganan yang dapat diskalakan memungkinkan penjahat cyber untuk melakukan kampanye phishing skala besar untuk memanen rincian kartu kredit untuk penipuan keuangan,” kata perusahaan cybersecurity Swiss Prodaft dalam sebuah laporan teknis yang dibagikan kepada Hacker News.
“Lucid memanfaatkan teknologi RCS Apple Imessage dan Android, melewati filter spam SMS tradisional dan tingkat pengiriman dan keberhasilan yang meningkat secara signifikan.”
Lucid dinilai sebagai karya kru peretasan berbahasa Cina yang disebut Xinxin Group (alias Black Technology), dengan kampanye phishing terutama menargetkan Eropa, Inggris, dan Amerika Serikat dengan niat untuk mencuri data kartu kredit dan informasi yang dapat diidentifikasi secara pribadi (PI).
Aktor ancaman di balik layanan ini, yang lebih penting, telah mengembangkan platform PHAAS lainnya seperti Lighthouse dan Darcula, yang terakhir telah diperbarui dengan kemampuan untuk mengkloning situs web merek mana pun untuk membuat versi phishing. Pengembang Lucid adalah aktor ancaman dengan nama kode Larva-242, yang juga merupakan tokoh kunci dalam kelompok xinxin.
Ketiga platform PHAAS berbagi tumpang tindih dalam templat, kumpulan target, dan taktik, menyinggung ekonomi bawah tanah yang berkembang di mana aktor berbahasa Cina memanfaatkan telegram untuk mengiklankan warez mereka dengan dasar berlangganan untuk motif yang digerakkan oleh laba.
Kampanye phishing yang mengandalkan layanan ini telah ditemukan menyamar sebagai layanan pos, perusahaan kurir, sistem pembayaran tol, dan lembaga pengembalian pajak, menggunakan templat phishing yang meyakinkan untuk menipu para korban agar memberikan informasi sensitif.
Kegiatan skala besar didukung pada backend melalui peternakan perangkat iPhone dan emulator perangkat seluler yang berjalan pada sistem Windows untuk mengirim ratusan ribu pesan penipuan yang berisi tautan palsu dengan cara yang terkoordinasi. Nomor telepon yang akan ditargetkan diperoleh melalui berbagai metode seperti pelanggaran data dan forum kejahatan dunia maya.
“Untuk pembatasan klik tautan Imessage, mereka menggunakan 'Harap balas dengan teknik Y' untuk membangun komunikasi dua arah,” jelas ProPaft. “Untuk pemfilteran RCS Google, mereka terus -menerus memutar domain/angka pengiriman untuk menghindari pengenalan pola.”
“Untuk iMessage, ini melibatkan pembuatan ID Apple sementara dengan nama tampilan yang ditiru, sementara eksploitasi RCS memanfaatkan inkonsistensi implementasi pembawa dalam verifikasi pengirim.”
Selain menawarkan alat otomasi yang menyederhanakan pembuatan situs web phishing yang dapat disesuaikan, halaman itu sendiri menggabungkan teknik anti-deteksi dan penghindaran canggih seperti pemblokiran IP, penyaringan agen pengguna, dan URL penggunaan tunggal yang terbatas waktu.
Lucid juga mendukung kemampuan untuk memantau aktivitas korban dan mencatat setiap interaksi dengan tautan phishing secara real-time melalui panel, memungkinkan pelanggannya untuk mengekstraksi informasi yang dimasukkan. Rincian kartu kredit yang diajukan oleh korban menjadi sasaran langkah verifikasi tambahan. Panel dibangun menggunakan kerangka kerja PHP webman open-source.
“Panel Lucid Phaas telah mengungkapkan ekosistem platform phishing-as-a-service yang sangat terorganisir dan saling terkait yang dioperasikan oleh aktor ancaman berbahasa Cina, terutama di bawah kelompok xinxin,” kata perusahaan itu.
“Grup Xinxin mengembangkan dan memanfaatkan alat dan keuntungan ini dari menjual informasi kartu kredit curian sambil secara aktif memantau dan mendukung pengembangan layanan PHAAS yang serupa.”
Perlu dicatat bahwa temuan dari ProPaft mencerminkan bahwa Palo Alto Networks Unit 42, yang baru-baru ini menyerukan aktor ancaman yang tidak ditentukan untuk memanfaatkan pola domain “com-” untuk mendaftarkan lebih dari 10.000 domain untuk menyebarkan berbagai penipuan phishing SMS melalui iMessage Apple.
Perkembangan datang ketika Barracuda memperingatkan “lonjakan besar -besaran” dalam serangan Phaas pada awal 2025 menggunakan taipan 2FA, EvilProxy, dan Sneaky 2FA, dengan masing -masing layanan menyumbang 89%, 8%, dan 3%dari semua insiden PHAA, masing -masing.
“Email phishing adalah gerbang untuk banyak serangan, dari pencurian kredensial hingga penipuan keuangan, ransomware, dan banyak lagi,” kata peneliti keamanan Barracuda Deerendra Prasad. “Platform yang menjadi phishing-as-a-service semakin kompleks dan mengelak, membuat serangan phishing lebih sulit bagi alat keamanan tradisional untuk mendeteksi dan lebih kuat dalam hal kerusakan yang dapat mereka lakukan.”
