Платформы «Фишинг-как-услуга» (PhaaS) Lighthouse и Lucid стали основой для глобальной киберпреступной кампании, в рамках которой было задействовано более 17 500 фишинговых доменов. Согласно отчету компании Netcraft, атакам подверглись 316 брендов в 74 странах мира, что демонстрирует беспрецедентный масштаб и уровень организации современных киберугроз.
Платформа Lucid, впервые задокументированная швейцарской компанией PRODAFT в апреле, специализируется на проведении крупномасштабных фишинговых кампаний через SMS. Мошенники используют Apple iMessage и технологию Rich Communication Services (RCS) для Android, нацеливаясь на клиентов платных дорог, государственных учреждений, почтовых служб и финансовых организаций. По данным Netcraft, с помощью Lucid были атакованы 164 бренда в 63 странах.
Ее конкурент, платформа Lighthouse, предлагает клиентам услуги по настройке шаблонов и мониторингу жертв в реальном времени. В арсенале сервиса — готовые шаблоны для атак на более чем 200 мировых платформ. Стоимость подписки составляет $88 в неделю или $1588 в год. Lighthouse была использована для атак на 204 бренда в 50 странах.
За разработкой и эксплуатацией этих платформ стоят конкретные киберпреступные группы. Считается, что за Lucid стоит китаеязычная группа XinXin (также известная как changqixinyun), которая также использовала фишинговые наборы Lighthouse и Darcula. Разработка Lighthouse связывается с актором под псевдонимом LARVA-241 (Lao Wang или Wang Duo Yu), в то время как создателем набора Darcula является LARVA-246 (X667788X0 или xxhcvv).
Для обхода систем безопасности злоумышленники применяют сложные методы таргетинга. Фишинговая страница отображается только для целевой жертвы, что определяется по трем параметрам: специфический мобильный User-Agent, геолокация прокси-сервера и уникальный путь в URL-адресе. Если посетитель не соответствует этим критериям, например, является исследователем кибербезопасности, он перенаправляется на поддельную страницу интернет-магазина.
Признаки тесного сотрудничества между операторами платформ очевидны. В ходе фишинговой кампании с использованием Lighthouse, направленной на клиентов албанской почтовой службы Posta Shqiptare, для нецелевых посетителей отображался тот же поддельный сайт магазина, что и в кампаниях, проводимых через Lucid. «В то время как Lighthouse действует независимо от группы XinXin, ее согласованность с Lucid в плане инфраструктуры и моделей таргетинга подчеркивает более широкую тенденцию к сотрудничеству и инновациям в экосистеме PhaaS», — отмечают в PRODAFT.
Наблюдается и эволюция тактик сбора данных. Киберпреступники отказываются от использования Telegram, который, по мнению Netcraft, «больше не считается безопасной гаванью», и возвращаются к электронной почте для сбора украденных учетных данных. За один месяц Netcraft зафиксировал 25%-ный рост такой активности. Исследователь безопасности Пенн Макинтош объясняет это тем, что «федеративная природа электронной почты усложняет блокировку по сравнению с централизованными платформами, такими как Discord или Telegram», а также удобством создания анонимных бесплатных почтовых ящиков.
Для упрощения процесса кражи данных злоумышленники все чаще используют сторонние сервисы, такие как EmailJS. Это позволяет им собирать логины, пароли и коды двухфакторной аутентификации, не создавая и не поддерживая собственную серверную инфраструктуру. «Lucid и Lighthouse — это примеры того, как быстро могут расти и развиваться эти платформы и как трудно порой бывает им противостоять», — заявил исследователь Netcraft Гарри Эверетт.
Одновременно развиваются новые виды мошенничества. Выявлено более 600 доменов, имитирующих страницы расширений для криптовалютных кошельков в Chrome Web Store, включая Phantom, Rabby, OKX, Coinbase, М⃰Mask, Exodus, PancakeSwap, Bitget и Trust. Первые случаи использования этой схемы зафиксированы 25 ноября 2024 года. Цель атак — сбор системной информации и кража сид-фраз для получения полного контроля над криптоактивами жертв.
Другой новой угрозой стали так называемые «задачные» аферы (task scams), построенные на базе API. Мошенники создают сайты, имитирующие известные бренды, такие как Delta Airlines, AMC Theatres, Universal Studios и Epic Records, предлагая пользователям заработать деньги, выполняя простые задания (например, работая агентом по бронированию авиабилетов). Для начала работы жертву просят внести депозит в криптовалюте на сумму не менее $100, который немедленно похищается. Исследователь Netcraft Роб Дункан назвал это примером того, «как оппортунистические акторы вооружаются шаблонами для имперсонации брендов на базе API, чтобы масштабировать финансово мотивированное мошенничество в различных вертикалях».
Изображение носит иллюстративный характер
Платформа Lucid, впервые задокументированная швейцарской компанией PRODAFT в апреле, специализируется на проведении крупномасштабных фишинговых кампаний через SMS. Мошенники используют Apple iMessage и технологию Rich Communication Services (RCS) для Android, нацеливаясь на клиентов платных дорог, государственных учреждений, почтовых служб и финансовых организаций. По данным Netcraft, с помощью Lucid были атакованы 164 бренда в 63 странах.
Ее конкурент, платформа Lighthouse, предлагает клиентам услуги по настройке шаблонов и мониторингу жертв в реальном времени. В арсенале сервиса — готовые шаблоны для атак на более чем 200 мировых платформ. Стоимость подписки составляет $88 в неделю или $1588 в год. Lighthouse была использована для атак на 204 бренда в 50 странах.
За разработкой и эксплуатацией этих платформ стоят конкретные киберпреступные группы. Считается, что за Lucid стоит китаеязычная группа XinXin (также известная как changqixinyun), которая также использовала фишинговые наборы Lighthouse и Darcula. Разработка Lighthouse связывается с актором под псевдонимом LARVA-241 (Lao Wang или Wang Duo Yu), в то время как создателем набора Darcula является LARVA-246 (X667788X0 или xxhcvv).
Для обхода систем безопасности злоумышленники применяют сложные методы таргетинга. Фишинговая страница отображается только для целевой жертвы, что определяется по трем параметрам: специфический мобильный User-Agent, геолокация прокси-сервера и уникальный путь в URL-адресе. Если посетитель не соответствует этим критериям, например, является исследователем кибербезопасности, он перенаправляется на поддельную страницу интернет-магазина.
Признаки тесного сотрудничества между операторами платформ очевидны. В ходе фишинговой кампании с использованием Lighthouse, направленной на клиентов албанской почтовой службы Posta Shqiptare, для нецелевых посетителей отображался тот же поддельный сайт магазина, что и в кампаниях, проводимых через Lucid. «В то время как Lighthouse действует независимо от группы XinXin, ее согласованность с Lucid в плане инфраструктуры и моделей таргетинга подчеркивает более широкую тенденцию к сотрудничеству и инновациям в экосистеме PhaaS», — отмечают в PRODAFT.
Наблюдается и эволюция тактик сбора данных. Киберпреступники отказываются от использования Telegram, который, по мнению Netcraft, «больше не считается безопасной гаванью», и возвращаются к электронной почте для сбора украденных учетных данных. За один месяц Netcraft зафиксировал 25%-ный рост такой активности. Исследователь безопасности Пенн Макинтош объясняет это тем, что «федеративная природа электронной почты усложняет блокировку по сравнению с централизованными платформами, такими как Discord или Telegram», а также удобством создания анонимных бесплатных почтовых ящиков.
Для упрощения процесса кражи данных злоумышленники все чаще используют сторонние сервисы, такие как EmailJS. Это позволяет им собирать логины, пароли и коды двухфакторной аутентификации, не создавая и не поддерживая собственную серверную инфраструктуру. «Lucid и Lighthouse — это примеры того, как быстро могут расти и развиваться эти платформы и как трудно порой бывает им противостоять», — заявил исследователь Netcraft Гарри Эверетт.
Одновременно развиваются новые виды мошенничества. Выявлено более 600 доменов, имитирующих страницы расширений для криптовалютных кошельков в Chrome Web Store, включая Phantom, Rabby, OKX, Coinbase, М⃰Mask, Exodus, PancakeSwap, Bitget и Trust. Первые случаи использования этой схемы зафиксированы 25 ноября 2024 года. Цель атак — сбор системной информации и кража сид-фраз для получения полного контроля над криптоактивами жертв.
Другой новой угрозой стали так называемые «задачные» аферы (task scams), построенные на базе API. Мошенники создают сайты, имитирующие известные бренды, такие как Delta Airlines, AMC Theatres, Universal Studios и Epic Records, предлагая пользователям заработать деньги, выполняя простые задания (например, работая агентом по бронированию авиабилетов). Для начала работы жертву просят внести депозит в криптовалюте на сумму не менее $100, который немедленно похищается. Исследователь Netcraft Роб Дункан назвал это примером того, «как оппортунистические акторы вооружаются шаблонами для имперсонации брендов на базе API, чтобы масштабировать финансово мотивированное мошенничество в различных вертикалях».
