Une nouvelle plate-forme sophistiquée de phishing en tant que service (PHAAS) appelée Lucid a ciblé 169 entités dans 88 pays à l’aide de messages de smims propagés via Apple iMessage et Rich Communication Services (RCS) pour Android.

Le argument de vente unique de Lucid réside dans son armement de plates-formes de communication légitimes pour contourner les mécanismes de détection traditionnels basés sur SMS.

“Son modèle basé sur un abonnement évolutif permet aux cybercriminels de mener des campagnes de phishing à grande échelle pour récolter les détails de la carte de crédit pour la fraude financière”, Swiss Cybersecurity Compteft dit Dans un rapport technique partagé avec le Hacker News.

“Lucid tire parti de la technologie RCS d’Apple Imessage et d’Android, en contournant les filtres à spam SMS traditionnels et en augmentant considérablement les taux de livraison et de réussite.”

Lucid est évalué comme le travail d’une équipe de piratage de langue chinoise appelée le groupe Xinxin (AKA Black Technology), les campagnes de phishing ciblant principalement l’Europe, le Royaume-Uni et les États-Unis dans le but de voler des données sur les cartes de crédit et des informations personnellement identifiables (PII).

Cybersécurité

Les acteurs de la menace derrière le service, plus important encore, ont développé d’autres plates-formes PHAAS comme Lighthouse et Darcula, ce dernier a été mise à jour avec des capacités pour cloner le site Web de n’importe quelle marque pour créer une version de phishing. Le développeur de Lucid est un acteur de menace, le nom de code Larva-242, qui est également une figure clé du groupe Xinxin.

Les trois plates-formes PHAAS partagent des chevauchements dans les modèles, les bassins cibles et les tactiques, faisant allusion à une économie souterraine florissante où les acteurs de langue chinois exploitent le télégramme pour annoncer leur Warez sur une base d’abonnement à des motifs axés sur le profit.

Les campagnes de phishing qui s’appuient sur ces services se sont avérées usurrer les services postaux, les sociétés de messagerie, les systèmes de paiement à péage et les agences de remboursement des impôts, employant des modèles de phishing convaincants pour tromper les victimes de fournir des informations sensibles.

Les activités à grande échelle sont alimentées sur le backend via des fermes d’appareils iPhone et des émulateurs d’appareils mobiles fonctionnant sur des systèmes Windows pour envoyer des centaines de milliers de messages d’escroquerie contenant des liens de faux de manière coordonnée. Les numéros de téléphone à cibler sont acquis par diverses méthodes telles que les violations de données et les forums de cybercriminalité.

“Pour les restrictions de clics de liens d’iMessage, ils utilisent” Veuillez répondre avec des techniques Y “pour établir une communication bidirectionnelle”, a expliqué Prodaft. “Pour le filtrage RCS de Google, ils tournent constamment des domaines / nombres d’envoi pour éviter la reconnaissance des modèles.”

iMessage et RCS Shumshing

“Pour iMessage, cela implique la création d’ID Apple temporaires avec des noms d’affichage impurnés, tandis que l’exploitation RCS exploite les incohérences d’implémentation des opérateurs dans la vérification de l’expéditeur.”

En plus d’offrir des outils d’automatisation qui simplifient la création de sites de phishing personnalisables, les pages elles-mêmes intègrent des techniques avancées anti-détection et d’évasion comme le blocage IP, le filtrage d’agent utilisateur et les URL à usage unique limitées dans le temps.

Lucid soutient également la possibilité de surveiller l’activité des victimes et d’enregistrer chaque interaction avec les liens de phishing en temps réel via un panel, permettant à ses clients d’extraire les informations saisies. Les détails de la carte de crédit soumis par les victimes sont soumis à des étapes de vérification supplémentaires. Le panneau est construit à l’aide du framework PHP Webman open-source.

“Le panel Lucid PHAAS a révélé un écosystème hautement organisé et interconnecté de plates-formes de phishing en tant que service exploitées par des acteurs de menace chinois, principalement dans le cadre du groupe Xinxin”, a indiqué la société.

“Le groupe Xinxin développe et utilise ces outils et bénéfices en vendant des informations de carte de crédit volées tout en surveillant et en soutenant activement le développement de services PHAAS similaires.”

Cybersécurité

Il convient de noter que le résultats de la prodaft miroir celle de Palo Alto Networks Unit 42, qui récemment Appelé les acteurs de menace non spécifiés pour utiliser le modèle de domaine “com-” pour enregistrer plus de 10 000 domaines pour propager diverses escroqueries de phishing SMS via Apple iMessage.

Le développement intervient alors que Barracuda a mis en garde contre un “pic massif” dans les attaques de PhaaS au début de 2025 en utilisant le Tycoon 2FA, EvilProxy et Sneaky 2FA, chaque service représentant 89%, 8% et 3% de tous les incidents PHAAS, respectivement.

“Les e-mails de phishing sont la passerelle de nombreuses attaques, du vol d’identification à la fraude financière, au ransomware, et plus encore”, chercheur de la sécurité de Barracuda Deerendra Prasad dit. “Les plates-formes qui alimentent le phishing en tant que service sont de plus en plus complexes et évasives, ce qui rend les attaques de phishing à la fois plus difficiles pour les outils de sécurité traditionnels pour détecter et plus puissants en termes de dégâts qu’ils peuvent faire.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57