Las ofertas de phishing como servicio (PHAA) conocidas como Faro y Lúcido se ha vinculado a más de 17.500 dominios de phishing dirigidos a 316 marcas de 74 países.
“Los despliegues de phishing como servicio (PHAA) han aumentado significativamente recientemente”, dijo Netcraft en un nuevo documentación. “Los operadores de PHAAS cobran una tarifa mensual por el software de phishing con plantillas preinstaladas que se esfuerzan, en algunos casos, cientos de marcas de países de todo el mundo”.
Lucid fue documentado por primera vez por la compañía suiza de ciberseguridad ProDaft a principios de abril, que detalló la capacidad del kit de phishing para destinar mensajes de amordazos a través de Apple iMessage y Rich Communication Services (RCS) para Android.
Se evalúa que el servicio es el trabajo de un actor de amenaza de palabra china conocido como el Congregación Xinxin (Changqixinyun), que además ha trabajador otros kits de phishing como Lighthouse y Darcula en sus operaciones. Darcula es desarrollado por un actor llamado LARVA-246 (además conocido como X667788x0 o XXHCVV), mientras que el incremento del Lighthouse se ha vinculado a LARVA-241 (además conocido como Lao Wang o Wang Duo Yu).
La plataforma Lucid Phaas permite a los clientes copular campañas de phishing a escalera, dirigiendo una amplia serie de industrias, incluidas compañías de peaje, gobiernos, compañías postales e instituciones financieras.
Estos ataques además incorporan diversos criterios, como requerir un agente móvil específico de legatario, un país proxy o una ruta configurada por el estafador, para avalar que solo los objetivos previstos puedan entrar a las URL de phishing. Si un legatario que otro objetivo termina visitando la URL, se le sirve una tienda falsa genérica.
En total, Netcraft dijo que ha detectado URL de phishing dirigidas a 164 marcas con sede en 63 países diferentes alojados a través de la plataforma Lucid. Las URL de phishing de fallos se han dirigido a 204 marcas con sede en 50 países diferentes.
Lighthouse, como Lucid, ofrece personalización de plantillas y monitoreo de víctimas en tiempo actual, y cuenta con la capacidad de crear plantillas de phishing para más de 200 plataformas en todo el mundo, lo que indica superposiciones significativas entre los dos kits de herramientas PHAA. Los precios de Lighthouse varían de $ 88 por una semana a $ 1,588 por una suscripción anual.
“Si proporcionadamente Lighthouse opera independientemente del familia Xinxin, su alineamiento con lúcidas en términos de infraestructura y patrones de orientación destaca la tendencia más amplia de colaboración e innovación en el interior del ecosistema PHAAS”, señaló ProDaft en abril.
Las campañas de phishing que utilizan Lighthouse han utilizado URL que se hace acontecer por el Servicio Postal Albaniano PostA Shqiptare, mientras sirve el mismo sitio de compras falsas a los no objetivo, lo que sugiere un posible vínculo entre Lucid y Lighthouse.
“Lucid y Lighthouse son ejemplos de cuán rápido pueden ocurrir el crecimiento y la transformación de estas plataformas y lo difíciles que a veces pueden ser para interrumpir”, dijo el investigador de Netcraft Harry Everett.
El incremento se produce cuando la compañía con sede en Londres reveló que los ataques de phishing se están alejando de los canales de comunicación como Telegram para transmitir datos robados, pintando una imagen de una plataforma que ya no es probable que se considere un refugio seguro para los ciberdelincuentes.
En su sitio, los actores de amenazas están volviendo al correo electrónico como canal para cosechar credenciales robadas, y Netcraft vio un aumento del 25% en un traspié de un mes. Asimismo se ha antagónico que los ciberdelincuentes utilizan servicios como correos electrónicos para cosechar detalles de inicio de sesión y códigos de autenticación de dos factores (2FA) de las víctimas, eliminando la condición de organizar su propia infraestructura por completo.
“Este resurgimiento se debe en parte a la naturaleza federada del correo electrónico, lo que hace que los derribos sean más difíciles”, dijo el investigador de seguridad Penn Mackintosh. “Cada dirección o relé SMTP debe informarse individualmente, a diferencia de las plataformas centralizadas como Discord o Telegram. Y además se tráfico de conveniencia. Crear una dirección de correo electrónico desechable sigue siendo rápida, anónima y prácticamente gratuita”.
Los hallazgos además siguen la aparición de nuevos dominios parecidos que utilizan el personaje japonés de Hiragana “ん” para acontecer las URL del sitio web copiado como casi idéntico a sus legítimos en lo que se apasionamiento un ataque de homoglífico. No menos de 600 dominios falsos que empleen esta técnica se han identificado en ataques dirigidos a usuarios de criptomonedas, con el primer uso registrado que data del 25 de noviembre de 2024.
Estas páginas se hacen acontecer por extensiones legítimas del navegador en la tienda web de Chrome, engañando a los usuarios desprevenidos a instalar aplicaciones de billetera falsas para Phantom, Rabby, OKX, Coinbase, Metamask, Exodus, Pancakeswap, Bitget y confianza que están diseñados para capturar información del sistema o cosechas de recolectas, dando a los atacantes el control total sobre sus Wallets.
“De un vistazo rápido, está destinado a parecerse a una mostrador de avance ‘/'”, dijo Netcraft. “Y cuando se deja caer en un nombre de dominio, es viable ver cómo puede ser convincente. Ese pequeño intercambio es suficiente para que un dominio del sitio de phishing se vea actual, que es el objetivo de las amenazas que los actores que intentan robar los inicios e información personal o distribuir malware”.
En los últimos meses, las estafas además han explotado las identidades de marca de empresas estadounidenses como Delta Airlines, AMC Theatres, Universal Studios y Epic Records para inscribir a personas en esquemas que ofrecen una forma de superar efectivo completando una serie de tareas, como ejecutar como agente de reserva de vuelos.
La captura aquí es que para hacerlo, se les pide a las posibles víctimas que depositen al menos $ 100 en criptomonedas a sus cuentas, lo que permite a los actores de amenaza obtener ganancias ilícitas.
La estafa de tareas “ilustra cómo los actores oportunistas están armando las plantillas de impersonación de marca impulsadas por la API para esquilar el fraude motivado financieramente en múltiples verticales”, dijo el investigador de Netcraft Rob Duncan.
