Investigadores de ciberseguridad de Prodaft han identificado una nueva y sofisticada plataforma de phishing denominada Lucid, que opera bajo el modelo PhaaS (Phishing-as-a-Service). Esta infraestructura maliciosa ha conseguido atacar a 169 organizaciones en 88 países, aprovechando los servicios de mensajería iMessage y RCS para distribuir sus campañas fraudulentas.

Infraestructura y origen de la amenaza

Lucid, surgida a mediados de 2023, está vinculada al grupo de hackers chino XinXin (también conocido como Black Technology), los mismos actores detrás de la anterior plataforma Darcula. La distribución del servicio se realiza a través de un canal de Telegram con más de 2.000 suscriptores, donde los ciberdelincuentes pueden adquirir licencias semanales para realizar sus actividades maliciosas.

Sofisticación técnica y métodos de propagación

La plataforma destaca por su avanzada infraestructura técnica, que incluye granjas de dispositivos iOS y Android para la distribución masiva de mensajes fraudulentos. Los atacantes utilizan identificadores temporales de Apple ID para iMessage y explotan vulnerabilidades en la validación de operadores para RCS. El volumen de mensajes maliciosos supera los 100.000 diarios, evadiendo los filtros antispam tradicionales mediante cifrado de extremo a extremo.

Estrategias de engaño y objetivos principales

Las campañas se centran principalmente en usuarios de Europa, Reino Unido y Estados Unidos, empleando técnicas de geolocalización y contenido personalizado por región. Los mensajes fraudulentos simulan comunicaciones legítimas de servicios de paquetería, notificaciones fiscales y multas de estacionamiento, utilizando una sofisticada ingeniería social para aumentar su credibilidad.

Mecanismos de exfiltración de datos

Los enlaces maliciosos dirigen a las víctimas hacia sitios web falsificados que imitan portales de empresas reconocidas como USPS, DHL y Royal Mail. La plataforma incorpora un sistema de validación de tarjetas bancarias en tiempo real, permitiendo a los atacantes verificar y monetizar rápidamente las credenciales robadas mediante su venta en mercados ilícitos o su uso en esquemas fraudulentos.

El surgimiento de Lucid representa una evolución significativa en las amenazas de phishing, evidenciando la necesidad crítica de implementar medidas de seguridad robustas y programas de concientización efectivos. Se recomienda a las organizaciones reforzar sus protocolos de seguridad, implementar autenticación multifactor y mantener actualizados sus sistemas de detección de amenazas para mitigar los riesgos asociados a esta nueva generación de ataques de phishing.