Phishing As-A-Service (PHAA), conocido como Lighthouse and Lucid, está vinculado a más de 17,500 dominios de phishing que cubren 316 marcas de 74 países.
«El despliegue de Phishing Ash Services (PHAA) ha aumentado significativamente recientemente», dijo Netcraft en un nuevo informe. «Los operadores de PHAAS le cobrarán una tarifa mensual por el software de phishing con plantillas preinstaladas.
Lucid fue documentado por primera vez a principios de abril de este año por la compañía suiza de seguridad cibernética ProDaft y detalló la capacidad del kit de phishing para enviar mensajes de amordazos a través de Apple iMessage y Rich Communication Services (RCS) para Android.
El servicio está calificado como el trabajo de un actor de amenaza de habla china conocido como grupo Xinxin (Changqixinyun). Darcula es desarrollado por un actor llamado LARVA-246 (también conocido como X667788x0 o XXHCVV), mientras que el desarrollo de Lighthouse está vinculado a LARVA-241 (también conocido como Lao Wang o Wang Duo Yu).
La plataforma Clear Phaas permite a los clientes instalar campañas de phishing a gran escala, cubriendo una amplia gama de industrias, incluidas empresas pagas, gobiernos, compañías postales e instituciones financieras.
Estos ataques también incorporan una variedad de criterios, como requerir una ruta configurada por un agente de usuario móvil específico, un país proxy o un estafador. Si un usuario no objetivo accede a la URL, se proporciona una tienda falsa general.
En total, Netcraft dijo que había detectado URL de phishing dirigidas a 164 marcas con sede en 63 países diferentes alojados a través de la plataforma Lucid. La URL de phishing del faro se dirige a 204 marcas con sede en 50 países.
Al igual que Lucid, Lighthouse ofrece personalización de plantillas y monitoreo de víctimas en tiempo real, con la capacidad de crear plantillas de phishing para más de 200 plataformas en todo el mundo. Los precios del faro oscilan entre $ 88 por semana a $ 1,588 por suscripción de año.
«Aunque Lighthouse opera independientemente del grupo Xinxin, la consistencia con Lucid en términos de infraestructura y patrones de orientación destaca las tendencias más amplias de colaboración e innovación dentro del ecosistema PHAAS», dijo Product en abril.
La campaña de phishing con sede en Lighthouse utiliza URL que se hacen pasar por la oficina de correos del Servicio Postal de Albania, proporcionando el mismo sitio de compras falso no dirigido, lo que sugiere un posible vínculo entre Lucid y el Lighthouse.
«Lucid y Lighthouse son un ejemplo de cuán rápido estas plataformas crecen y evolucionan, y lo difícil que es para ellos confundirse a veces», dijo el investigador de Netcraft Harry Everett.
Se desarrolla cuando la compañía con sede en Londres revela que los ataques de phishing viajan para transportar datos robados de canales de comunicación similares a telegramas, que dibujan imágenes de plataformas que es poco probable que sean refugios para los ciberdelincuentes.
En cambio, los actores de amenaza volverán al correo electrónico como un canal para cosechar calificaciones robadas, con un aumento del 25% en el lapso de un mes. También se sabe que los ciberdelincuentes utilizan servicios como correos electrónicos para recolectar detalles de inicio de sesión y utilizar códigos de autenticación de dos factores (2FA) de las víctimas, eliminando la necesidad de alojar completamente su propia infraestructura.
«Este avivamiento se debe en parte a la naturaleza de la coalición del correo electrónico, lo que dificulta los derribos», dijo el investigador de seguridad Penn McIntosh. «A diferencia de las plataformas centralizadas como Discord y Telegram, cada dirección o relé SMTP debe informarse individualmente, y eso también se trata de conveniencia.
Los hallazgos también utilizan el personaje japonés de Hiragana «N», que pasa por una URL del sitio web que es más o menos lo mismo que legítimo en lo que se llama ataques de homoglíficos, luego de la aparición de un dominio como un nuevo aspecto. Se han identificado más de 600 dominios falsos que utilizan esta técnica en ataques dirigidos a usuarios de criptomonedas, registrando el uso registrado más temprano hasta el 25 de noviembre de 2024.
Estas páginas se parecen como extensiones legítimas del navegador para la tienda web de Chrome, instalando aplicaciones de billetera falsas para la confianza diseñadas para cosechar fantasmas, rabby, okx, coinbase, metamask, pancodus, bitg y frases de semillas para usuarios insopantadores, dando a los atacantes control total.
«De un vistazo, está destinado a parecer una barra positiva», dijo Netcraft. «Y cuando se deja caer en un nombre de dominio, puede ver fácilmente cuán persuasivo es. Ese pequeño intercambio es suficiente para que el dominio de un sitio de phishing se vea real.
En los últimos meses, las estafas han registrado personas en un esquema que ofrece una forma de ganar dinero completando una serie de tareas, incluida la ejecución como agente de reserva de vuelos, aprovechando las identidades de marca de compañías estadounidenses como Delta Air Lines, AMC Theatre, Universal Studios y Magnificent Records.
La captura aquí es que para hacerlo, para convertirse en una víctima, se le pide que deposite al menos $ 100 en criptomonedas en su cuenta, lo que permite a los actores de amenaza obtener ganancias ilegales.
Fraude de tareas «Los indicadores arman las plantillas de infección de marca impulsadas por la API para escalar el fraude motivado financieramente en múltiples industrias», dijo Rob Duncan, del investigador de Netcraft.
Source link
