Lucid представляет собой сервис фишинга как услуги, осуществляющий атаки на 169 целей в 88 странах с использованием смс-сообщений через Apple iMessage и RCS для Android.
Платформа превращает легитимные каналы коммуникации в оружие, обходя фильтры, разработанные для традиционных SMS-сообщений, что значительно повышает вероятность доставки атаки.
Используются временные Apple ID с поддельными именами отправителей и тактика «Пожалуйста, ответьте символом Y» для установления двусторонней связи, позволяющей обойти ограничения на переход по ссылкам в iMessage. Одновременная постоянная ротация доменов и номеров в RCS минимизирует возможность распознавания шаблонов атаки.
Модель работы построена на подписке и масштабируется до проведения крупномасштабных кампаний, целью которых является сбор данных кредитных карт и другой идентифицирующей информации. Инфраструктура включает фермы iPhone, эмуляторы мобильных устройств на Windows, а также использование баз данных, полученных в результате утечек, для формирования целевых телефонных пулов.
Автоматизированные инструменты упрощают создание настраиваемых фишинговых сайтов, оснащённых мерами против обнаружения: блокировкой IP-адресов, фильтрацией пользовательских агентов и одноразовыми URL с ограниченным временем действия. Панель управления Lucid, разработанная на основе open-source Webman PHP, ведёт реестр всех взаимодействий с фишинговыми ссылками, что позволяет извлекать и проверять данные кредитных карт в режиме реального времени.
Работа платформы связывается с китайскоговорящей группой хакеров XinXin (также известной как Black Technology), основной целью которой являются пользователи из Европы, Великобритании и США. Ключевая фигура группы, действующая под кодовым именем LARVA-242, также стояла за разработкой родственных сервисов, таких как Lighthouse и Darcula, способных клонировать сайты известных брендов для создания убедительных фишинговых копий.
Фишинговые кампании проводятся под видом уведомлений от почтовых служб, курьерских компаний, систем оплаты проездных сборов или налоговых возвратных агентств. Рассылка сотен тысяч смс-сообщений через фермы устройств и эмуляторы учитывает особенности верификации отправителя у операторов, что делает атаку ещё менее заметной и более эффективной.
Независимые отчёты подтверждают масштаб и сложность операций. Так, швейцарская компания PRODAFT отметила: «Его масштабируемая, основанная на подписке модель позволяет киберпреступникам проводить крупномасштабные фишинговые кампании для сбора данных кредитных карт с целью финансовых мошенничеств», а выводы Palo Alto Networks Unit 42 и предупреждение от Barracuda Security, где исследователь Deerendra Prasad отмечал рост сложности и уклончивости подобных платформ, свидетельствуют о постоянно эволюционирующей угрозе.
Изображение носит иллюстративный характер
Платформа превращает легитимные каналы коммуникации в оружие, обходя фильтры, разработанные для традиционных SMS-сообщений, что значительно повышает вероятность доставки атаки.
Используются временные Apple ID с поддельными именами отправителей и тактика «Пожалуйста, ответьте символом Y» для установления двусторонней связи, позволяющей обойти ограничения на переход по ссылкам в iMessage. Одновременная постоянная ротация доменов и номеров в RCS минимизирует возможность распознавания шаблонов атаки.
Модель работы построена на подписке и масштабируется до проведения крупномасштабных кампаний, целью которых является сбор данных кредитных карт и другой идентифицирующей информации. Инфраструктура включает фермы iPhone, эмуляторы мобильных устройств на Windows, а также использование баз данных, полученных в результате утечек, для формирования целевых телефонных пулов.
Автоматизированные инструменты упрощают создание настраиваемых фишинговых сайтов, оснащённых мерами против обнаружения: блокировкой IP-адресов, фильтрацией пользовательских агентов и одноразовыми URL с ограниченным временем действия. Панель управления Lucid, разработанная на основе open-source Webman PHP, ведёт реестр всех взаимодействий с фишинговыми ссылками, что позволяет извлекать и проверять данные кредитных карт в режиме реального времени.
Работа платформы связывается с китайскоговорящей группой хакеров XinXin (также известной как Black Technology), основной целью которой являются пользователи из Европы, Великобритании и США. Ключевая фигура группы, действующая под кодовым именем LARVA-242, также стояла за разработкой родственных сервисов, таких как Lighthouse и Darcula, способных клонировать сайты известных брендов для создания убедительных фишинговых копий.
Фишинговые кампании проводятся под видом уведомлений от почтовых служб, курьерских компаний, систем оплаты проездных сборов или налоговых возвратных агентств. Рассылка сотен тысяч смс-сообщений через фермы устройств и эмуляторы учитывает особенности верификации отправителя у операторов, что делает атаку ещё менее заметной и более эффективной.
Независимые отчёты подтверждают масштаб и сложность операций. Так, швейцарская компания PRODAFT отметила: «Его масштабируемая, основанная на подписке модель позволяет киберпреступникам проводить крупномасштабные фишинговые кампании для сбора данных кредитных карт с целью финансовых мошенничеств», а выводы Palo Alto Networks Unit 42 и предупреждение от Barracuda Security, где исследователь Deerendra Prasad отмечал рост сложности и уклончивости подобных платформ, свидетельствуют о постоянно эволюционирующей угрозе.
