Het phishing-as-a-service (PHAAS) -aanbod dat bekend staat als Vuurtoren En Helder is gekoppeld aan meer dan 17.500 phishing -domeinen gericht op 316 merken uit 74 landen.
“Phishing-as-a-Service (PHAAS) implementaties zijn recent aanzienlijk gestegen”, zei Netcraft in een nieuw rapport. “De PHAAS-exploitanten brengen een maandelijkse vergoeding in rekening voor phishing-software met vooraf geïnstalleerde sjablonen die zich in sommige gevallen voordoen, honderden merken uit landen over de hele wereld.”
Lucid werd voor het eerst gedocumenteerd door Swiss Cybersecurity Company PRODAFT eerder in april, met details over het vermogen van de phishing -kit om Smishing -berichten te verzenden via Apple Imessage en Rich Communication Services (RCS) voor Android.
De service wordt beoordeeld als het werk van een Chinees sprekende dreigingsacteur die bekend staat als de Xinxin Group (Changqixinyun), die ook andere phishing-kits zoals Lighthouse en Darcula heeft gebruikt in zijn activiteiten. Darcula is ontwikkeld door een acteur genaamd Larve-246 (aka X667788X0 of XXHCVV), terwijl de ontwikkeling van Lighthouse is gekoppeld aan larva-241 (aka Lao Wang of Wang Duo Yu).
Het Lucid PHAAS -platform stelt klanten in staat om phishing -campagnes op schaal op te zetten, gericht op een breed scala aan industrieën, waaronder tolbedrijven, overheden, postbedrijven en financiële instellingen.
Deze aanvallen bevatten ook verschillende criteria-zoals het vereisen van een specifiek mobiel gebruikersagent, proxy-land of een door de fraudeer geconfigureerd pad-om ervoor te zorgen dat alleen de beoogde doelen toegang hebben tot de phishing-URL’s. Als een andere gebruiker dan het doelwit de URL bezoekt, krijgen ze in plaats daarvan een generieke nepwinkel geserveerd.
In totaal zei NetCraft dat het phishing -URL’s heeft gedetecteerd die zich richten op 164 merken in 63 verschillende landen die zijn georganiseerd via het lucide platform. Lighthouse phishing -URL’s hebben zich gericht op 204 merken in 50 verschillende landen.
Lighthouse biedt, net als Lucid, sjabloonaanpassing en realtime slachtofferbewaking en beschikt over de mogelijkheid om phishing-sjablonen te maken voor meer dan 200 platforms over de hele wereld, wat wijst op significante overlappingen tussen de twee PHAAS-toolkits. Prijzen voor vuurtoren variëren van $ 88 voor een week tot $ 1.588 voor een jaarlijks abonnement.
“Terwijl Lighthouse onafhankelijk van de Xinxin Group werkt, benadrukt de afstemming met Lucid in termen van infrastructuur en targetingpatronen de bredere trend van samenwerking en innovatie binnen het PHAAS -ecosysteem,” merkte PRODAFT op in april.
Phishing-campagnes met behulp van Lighthouse hebben gebruik gemaakt van URL’s die zich voordoen als de Albanese postdienst Posta Shqiptare, terwijl ze dezelfde nep-winkelsite bedienen aan niet-doelstellingen, wat een potentieel verband tussen lucide en vuurtoren suggereert.
“Lucide en vuurtoren zijn voorbeelden van hoe snel de groei en evolutie van deze platforms kunnen optreden en hoe moeilijk ze soms kunnen zijn om te verstoren,” zei Netcraft -onderzoeker Harry Everett.
De ontwikkeling komt wanneer het in Londen gevestigde bedrijf onthulde dat phishing-aanvallen weggaan van communicatiekanalen zoals Telegram naar doorvoer gestolen gegevens, een beeld schilderen van een platform dat waarschijnlijk niet langer wordt beschouwd als een veilige haven voor cybercriminelen.
In plaats daarvan keren dreigingsacteurs terug naar e -mail als een kanaal voor het oogsten van gestolen referenties, waarbij Netcraft een toename van 25% in een periode van een maand ziet. Cybercriminelen zijn ook gevonden om services zoals e-mailjs te gebruiken om inloggegevens en tweefactorauthenticatie (2FA) codes van slachtoffers te oogsten, waardoor de noodzaak om hun eigen infrastructuur helemaal te hosten, worden geëlimineerd.
“Deze heropleving is deels te wijten aan de federale aard van e -mail, waardoor verwijderingen moeilijker worden”, zei beveiligingsonderzoeker Penn Mackintosh. “Elk adres of SMTP -relais moet afzonderlijk worden gerapporteerd, in tegenstelling tot gecentraliseerde platforms zoals Discord of Telegram. En het gaat ook over gemak. Het maken van een wegwerp -e -mailadres blijft snel, anoniem en vrijwel gratis.”
De bevindingen volgen ook de opkomst van nieuwe Lookalike -domeinen met behulp van het Japanse Hiragana -personage “ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ん ° C, wordt ook uitgedeeld als bijna identiek aan hun legitieme in wat een homoglyph -aanval wordt genoemd. Niet minder dan 600 nep -domeinen die deze techniek gebruiken, zijn geïdentificeerd in aanvallen gericht op cryptocurrency -gebruikers, met het vroegste opgenomen gebruik daterend uit 25 november 2024.
Deze pagina’s doen zich voor als legitieme browservertensies in de Chrome Web Store, waarbij ze niet -vermenging van gebruikers misleiden om nep -portemonnee -apps te installeren voor Phantom, Rabby, OKX, Coinbase, Metamask, Exodus, Pancakeswap, Bitget en Trust die zijn ontworpen om systeeminformatie vast te leggen of te oogsten, de aanvallers volledige controle over hun wallets.
“Op een snelle blik is het bedoeld om eruit te zien als een voorwaartse schuine streep ‘/’, zei Netcraft. “En wanneer het in een domeinnaam wordt gevallen, is het gemakkelijk om te zien hoe het overtuigend kan zijn. Die kleine swap is voldoende om een phishing -sitedomein er echt uit te laten zien, wat het doel is van dreigingsacteurs die proberen aanmeldingen en persoonlijke informatie te stelen of malware te verspreiden.”
In de afgelopen maanden hebben oplichting ook de merkidentiteiten van Amerikaanse bedrijven zoals Delta Airlines, AMC -theaters, Universal Studios en Epic Records gebruikt om mensen in te schrijven in regelingen die een manier bieden om geld te verdienen door een reeks taken te voltooien, zoals operationeel als vluchtboekingsagent.
De vangst hier is dat, om dit te doen, zou worden gevraagd om slachtoffers van ten minste $ 100 aan cryptocurrency op hun rekeningen te storten, waardoor de dreigingsactoren illegale winst kunnen maken.
De taakzwendel “illustreert hoe opportunistische actoren API-aangedreven merk-imponteringssjablonen bewapenen om financieel gemotiveerde fraude te schalen over meerdere verticals,” zei Netcraft-onderzoeker Rob Duncan.
