Специалисты компании Prodaft обнаружили новую масштабную фишинговую платформу Lucid, действующую по модели PhaaS (phishing-as-a-service). За последние месяцы с её помощью было атаковано 169 организаций в 88 странах мира, причем злоумышленники используют для рассылки вредоносных сообщений популярные мессенджеры iMessage и RCS.
Происхождение и организация Lucid
По данным исследователей, платформа появилась в середине 2023 года и управляется китайской хакерской группировкой XinXin (также известной как Black Technology). Примечательно, что ранее эта же группа использовала платформу Darcula, что указывает на возможную связь между двумя PhaaS-решениями. Распространение Lucid осуществляется через Telegram-канал с более чем 2000 подписчиков, где доступ предоставляется на основе еженедельных лицензий.
Технические особенности и методы атак
Платформа демонстрирует высокий уровень технической сложности, используя для рассылки фишинговых сообщений крупные фермы iOS- и Android-устройств. При работе с iMessage применяются временные Apple ID, а для RCS эксплуатируются уязвимости в системах валидации операторов. Ежедневный объем рассылки превышает 100 000 сообщений, причем использование end-to-end шифрования позволяет обходить традиционные спам-фильтры.
Целевая аудитория и механизмы обмана
Основными мишенями фишинговых кампаний становятся пользователи из Европы, Великобритании и США. Злоумышленники тщательно маскируют свои сообщения под легитимные уведомления о доставке, налоговые извещения и парковочные квитанции. Для повышения эффективности атак используется геотаргетинг и локализация контента под конкретные регионы.
Механизм кражи данных
При переходе по вредоносным ссылкам жертвы попадают на поддельные сайты, имитирующие порталы известных компаний и госучреждений, включая USPS, DHL, Royal Mail и других. Основная цель злоумышленников — получение личных данных и банковской информации пользователей. Платформа предоставляет встроенный валидатор банковских карт, позволяющий оперативно проверять похищенные данные для последующей продажи или использования в мошеннических схемах.
Появление Lucid демонстрирует растущую профессионализацию фишинговых атак и подчеркивает необходимость повышенной бдительности при работе с сообщениями, даже если они получены через защищенные каналы связи. Организациям рекомендуется усилить обучение сотрудников по вопросам информационной безопасности и внедрить дополнительные механизмы защиты от социальной инженерии.
