Експерти з кібербезпеки компанії Prodaft виявили нову загрозу світового масштабу – фішингову платформу Lucid, що працює за моделлю PhaaS (phishing-as-a-service). За останні місяці платформа використовувалася для проведення атак на 169 організацій у 88 країнах, причому особливістю кампанії стало використання захищених каналів комунікації – месенджерів iMessage та RCS.
Походження та інфраструктура Lucid
Згідно з дослідженням, за створенням платформи стоїть китайське хакерське угруповання XinXin (також відоме як Black Technology). Платформа з’явилася в середині 2023 року і поширюється через закритий Telegram-канал з понад 2000 учасників. Примітно, що це ж угруповання раніше керувало платформою Darcula, що вказує на можливий зв’язок між цими PhaaS-рішеннями.
Технічні особливості та механізми атак
Lucid демонструє високий рівень технічної складності, використовуючи масштабні ферми iOS- та Android-пристроїв для розсилки фішингових повідомлень. При роботі з iMessage застосовуються тимчасові Apple ID, а для RCS експлуатуються вразливості в системах валідації операторів. Щоденний обсяг розсилки сягає понад 100 000 повідомлень, при цьому використання наскрізного шифрування дозволяє обходити традиційні спам-фільтри.
Методи соціальної інженерії та цільові регіони
Основними мішенями кіберзлочинців стали користувачі з Європи, Великої Британії та США. Зловмисники ретельно маскують фішингові повідомлення під легітимні сповіщення про доставку, податкові повідомлення та квитанції за паркування. Для підвищення ефективності атак використовується геотаргетинг та локалізація контенту відповідно до регіону жертви.
Механізми викрадення даних
При переході за шкідливими посиланнями користувачі потрапляють на фальшиві сайти, що імітують портали відомих компаній та державних установ, включаючи USPS, DHL та Royal Mail. Платформа оснащена вбудованим валідатором банківських карток, що дозволяє оперативно перевіряти викрадені дані для подальшого продажу або використання у шахрайських схемах.
Поява платформи Lucid свідчить про стрімку професіоналізацію фішингових атак та необхідність посилення заходів кібербезпеки. Організаціям рекомендується впровадити багаторівневі системи захисту, включаючи регулярні тренінги з інформаційної безпеки для співробітників, використання двофакторної автентифікації та впровадження передових систем виявлення та запобігання фішинговим атакам.
