Investigadores de ciberseguridad de Prodaft han identificado una nueva y sofisticada plataforma de phishing denominada Lucid, que opera bajo el modelo PhaaS (Phishing-as-a-Service). Esta infraestructura maliciosa ha conseguido atacar a 169 organizaciones en 88 pa铆ses, aprovechando los servicios de mensajer铆a iMessage y RCS para distribuir sus campa帽as fraudulentas.
Infraestructura y origen de la amenaza
Lucid, surgida a mediados de 2023, est谩 vinculada al grupo de hackers chino XinXin (tambi茅n conocido como Black Technology), los mismos actores detr谩s de la anterior plataforma Darcula. La distribuci贸n del servicio se realiza a trav茅s de un canal de Telegram con m谩s de 2.000 suscriptores, donde los ciberdelincuentes pueden adquirir licencias semanales para realizar sus actividades maliciosas.
Sofisticaci贸n t茅cnica y m茅todos de propagaci贸n
La plataforma destaca por su avanzada infraestructura t茅cnica, que incluye granjas de dispositivos iOS y Android para la distribuci贸n masiva de mensajes fraudulentos. Los atacantes utilizan identificadores temporales de Apple ID para iMessage y explotan vulnerabilidades en la validaci贸n de operadores para RCS. El volumen de mensajes maliciosos supera los 100.000 diarios, evadiendo los filtros antispam tradicionales mediante cifrado de extremo a extremo.
Estrategias de enga帽o y objetivos principales
Las campa帽as se centran principalmente en usuarios de Europa, Reino Unido y Estados Unidos, empleando t茅cnicas de geolocalizaci贸n y contenido personalizado por regi贸n. Los mensajes fraudulentos simulan comunicaciones leg铆timas de servicios de paqueter铆a, notificaciones fiscales y multas de estacionamiento, utilizando una sofisticada ingenier铆a social para aumentar su credibilidad.
Mecanismos de exfiltraci贸n de datos
Los enlaces maliciosos dirigen a las v铆ctimas hacia sitios web falsificados que imitan portales de empresas reconocidas como USPS, DHL y Royal Mail. La plataforma incorpora un sistema de validaci贸n de tarjetas bancarias en tiempo real, permitiendo a los atacantes verificar y monetizar r谩pidamente las credenciales robadas mediante su venta en mercados il铆citos o su uso en esquemas fraudulentos.
El surgimiento de Lucid representa una evoluci贸n significativa en las amenazas de phishing, evidenciando la necesidad cr铆tica de implementar medidas de seguridad robustas y programas de concientizaci贸n efectivos. Se recomienda a las organizaciones reforzar sus protocolos de seguridad, implementar autenticaci贸n multifactor y mantener actualizados sus sistemas de detecci贸n de amenazas para mitigar los riesgos asociados a esta nueva generaci贸n de ataques de phishing.
