Cybersicherheitsexperten von Prodaft haben eine neue, hochentwickelte Phishing-Infrastruktur namens Lucid aufgedeckt, die als Phishing-as-a-Service (PhaaS) operiert. Die Plattform hat bereits 169 Organisationen in 88 Ländern ins Visier genommen und nutzt dabei innovative Angriffsvektoren über iMessage und RCS (Rich Communication Services).
Technische Infrastruktur und Angriffsmerkmale
Die seit Mitte 2023 aktive Plattform zeichnet sich durch eine hochkomplexe technische Architektur aus. Die Angreifer betreiben große Farmen von iOS- und Android-Geräten für die Verteilung ihrer Phishing-Nachrichten. Besonders besorgniserregend ist die Nutzung temporärer Apple IDs für iMessage-Angriffe sowie die Exploitation von Schwachstellen in RCS-Validierungssystemen. Das tägliche Angriffsvolumen übersteigt 100.000 Nachrichten, wobei die Ende-zu-Ende-Verschlüsselung traditionelle Spam-Filter umgeht.
Organisationsstruktur und Vertriebsmodell
Hinter Lucid steht die chinesische Hackergruppe XinXin, die bereits für die Entwicklung der Phishing-Plattform Darcula bekannt ist. Die Vermarktung erfolgt über einen Telegram-Kanal mit über 2.000 Abonnenten, wo wöchentliche Lizenzen zum Zugriff auf die Plattform angeboten werden. Diese Professionalisierung des Phishing-Marktes zeigt eine beunruhigende Entwicklung im Cybercrime-Ökosystem.
Zielgerichtete Angriffsmethoden
Die Kampagnen konzentrieren sich hauptsächlich auf Nutzer in Europa, Großbritannien und den USA. Die Angreifer setzen auf ausgefeilte Social-Engineering-Taktiken und täuschen legitime Kommunikation von Paketdiensten, Steuerbehörden und Parkservices vor. Durch präzises Geotargeting und regionale Anpassung der Inhalte erreichen die Angriffe eine hohe Erfolgsrate.
Datendiebstahl und Monetarisierung
Die Phishing-Kampagnen leiten Opfer auf täuschend echt aussehende Kopien bekannter Unternehmensportale wie USPS, DHL und Royal Mail. Die Plattform verfügt über einen integrierten Kreditkartenvalidator zur sofortigen Überprüfung gestohlener Zahlungsinformationen. Diese Daten werden anschließend auf illegalen Märkten verkauft oder für weitere Betrugsaktivitäten missbraucht.
Die Entdeckung von Lucid unterstreicht die dringende Notwendigkeit verbesserter Sicherheitsmaßnahmen in Unternehmen. Organisationen sollten ihre Mitarbeiter regelmäßig in der Erkennung von Phishing-Angriffen schulen und mehrschichtige Sicherheitssysteme implementieren. Besondere Aufmerksamkeit sollte der Absicherung von Messaging-Diensten und der Sensibilisierung für Social-Engineering-Taktiken gewidmet werden. Die Evolution von PhaaS-Plattformen wie Lucid zeigt, dass selbst vermeintlich sichere Kommunikationskanäle nicht vor ausgefeilten Phishing-Angriffen gefeit sind.
