Platform phishing-as-a-service (PHAAS) bernama ‘Lucid’ telah menargetkan 169 entitas di 88 negara menggunakan pesan yang dibuat dengan baik yang dikirim pada iMessage (iOS) dan RCS (Android).
Lucid, yang telah dioperasikan oleh penjahat cyber Cina yang dikenal sebagai ‘Xinxin Group’ sejak pertengahan 2023, dijual kepada aktor ancaman lainnya melalui model berbasis berlangganan yang memberi mereka akses ke lebih dari 1.000 domain phishing, situs phishing yang dibuat otomatis yang disesuaikan, dan alat spam-grade.
Peneliti propaft mencatat bahwa xinxin juga telah menggunakan Darcula V3 Platform untuk operasinya, yang menunjukkan koneksi potensial antara dua platform PHAAS.
Langganan ke Lucid dijual melalui saluran telegram khusus (2.000 anggota), dan pelanggan diberikan akses melalui lisensi setiap minggu.
Operasi phishing besar -besaran
Kelompok ancaman mengklaim mengirim 100.000 pesan smishing setiap hari melalui Layanan Komunikasi yang kaya (RCS) atau Apple Imessage, yang dienkripsi ujung-ke-ujung, memungkinkan mereka untuk menghindari filter spam.
“Platform ini menggunakan mekanisme pengiriman serangan otomatis, menggunakan situs web phishing yang dapat disesuaikan yang didistribusikan terutama melalui umpan berbasis SMS,” menjelaskan ProPaft.
“Untuk meningkatkan efektivitas, Lucid memanfaatkan teknologi RCS Apple Imessage dan Android, melewati filter spam SMS tradisional dan tingkat pengiriman dan keberhasilan yang meningkat secara signifikan.”
Terlepas dari penghindaran, penggunaan pesan-pesan ini juga membuat operasi hemat biaya, karena mengirim SMS pada volume yang sebanding dapat memiliki biaya yang signifikan.
Operator LUCID menggunakan iOS skala besar dan pertanian perangkat Android untuk mengirim pesan teks. Untuk iMessage, Lucid menggunakan ID apel sementara. Untuk RCS, para aktor ancaman mengeksploitasi kelemahan implementasi khusus operator dalam validasi pengirim.
Sumber: ProDaft
Dalam video yang dibagikan oleh ProPaft, Anda dapat melihat aktor ancaman yang melakukan kampanye phishing dari mobil yang bergerak, berpotensi untuk meningkatkan keamanan operasional dan memamerkan betapa mudahnya platform untuk digunakan.
“Tujuan utama menampilkan pesan phishing yang dikirim dari perangkat korban saat mengemudi adalah untuk menunjukkan betapa mudahnya individu dapat terlibat dalam operasi tersebut,” kata ProPaft kepada BleepingComputer.
“Beberapa aktor ancaman mungkin tertarik pada kampanye spam berisiko rendah dan berisiko rendah yang membutuhkan keterampilan teknis atau infrastruktur minimal-sering mengandalkan alat virtualisasi atau perangkat fisik yang digunakan kembali untuk mengotomatisasi pengiriman pesan pada skala.”
Pesan phishing seluler biasanya menyamar sebagai pengiriman, peringatan pajak, atau Paymen tol yang terlewatTS, menampilkan logo/branding khusus, bahasa yang sesuai untuk mencocokkan demografis target, dan penyaringan korban geo-lokasi.
Korban mengklik tautan phishing diarahkan ke halaman pendaratan palsu yang menyamar sebagai agen dan entitas parkir pemerintah negara bagian atau entitas swasta, seperti USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, Sunpass, Transport untuk London, dan banyak lagi.
Sumber: ProDaft
Halaman phishing dirancang untuk mencuri informasi pribadi dan keuangan, termasuk nama lengkap, alamat email, alamat fisik, dan detail kartu kredit.
Platform ini mencakup validator kartu kredit bawaan sehingga aktor dapat menguji kartu curian. Kartu yang valid dijual ke penjahat cyber lainnya atau digunakan langsung untuk penipuan.
Platform seperti Lucid menurunkan penghalang masuk ke operasi kejahatan dunia maya dan memberikan tingkat kualitas tertentu untuk upaya phishing yang meningkatkan peluang keberhasilan bagi para penyerang.
Ketika ini dikombinasikan dengan infrastruktur yang luas dan tangguh, aktor ancaman dapat memanfaatkannya untuk melakukan kampanye phishing skala massal dan sangat terorganisir.
Saat menerima pesan di perangkat Anda yang mendesak Anda untuk mengikuti tautan tertanam atau membalas pesan tersebut, abaikan saja. Sebaliknya, masuk ke layanan aktual secara langsung dan periksa peringatan atau tagihan yang tertunda.
