Las ofertas de phishing como servicio (PHAA) conocidas como Faro y Lúcido se ha vinculado a más de 17.500 dominios de phishing dirigidos a 316 marcas de 74 países.
«Los despliegues de phishing como servicio (PHAA) han aumentado significativamente recientemente», dijo Netcraft en un nuevo informe. «Los operadores de PHAAS cobran una tarifa mensual por el software de phishing con plantillas preinstaladas que se esfuerzan, en algunos casos, cientos de marcas de países de todo el mundo».
Lucid fue documentado por primera vez por la compañía suiza de ciberseguridad ProDaft a principios de abril, que detalló la capacidad del kit de phishing para enviar mensajes de amordazos a través de Apple iMessage y Rich Communication Services (RCS) para Android.
Se evalúa que el servicio es el trabajo de un actor de amenaza de habla china conocido como el Grupo Xinxin (Changqixinyun), que también ha aprovechado otros kits de phishing como Lighthouse y Darcula en sus operaciones. Darcula es desarrollado por un actor llamado LARVA-246 (también conocido como X667788x0 o XXHCVV), mientras que el desarrollo del Lighthouse se ha vinculado a LARVA-241 (también conocido como Lao Wang o Wang Duo Yu).
La plataforma Lucid Phaas permite a los clientes montar campañas de phishing a escala, dirigiendo una amplia gama de industrias, incluidas compañías de peaje, gobiernos, compañías postales e instituciones financieras.
Estos ataques también incorporan diversos criterios, como requerir un agente móvil específico de usuario, un país proxy o una ruta configurada por el estafador, para garantizar que solo los objetivos previstos puedan acceder a las URL de phishing. Si un usuario que otro objetivo termina visitando la URL, se le sirve una tienda falsa genérica.
En total, Netcraft dijo que ha detectado URL de phishing dirigidas a 164 marcas con sede en 63 países diferentes alojados a través de la plataforma Lucid. Las URL de phishing de fallos se han dirigido a 204 marcas con sede en 50 países diferentes.
Lighthouse, como Lucid, ofrece personalización de plantillas y monitoreo de víctimas en tiempo real, y cuenta con la capacidad de crear plantillas de phishing para más de 200 plataformas en todo el mundo, lo que indica superposiciones significativas entre los dos kits de herramientas PHAA. Los precios de Lighthouse varían de $ 88 por una semana a $ 1,588 por una suscripción anual.
«Si bien Lighthouse opera independientemente del grupo Xinxin, su alineación con lúcidas en términos de infraestructura y patrones de orientación destaca la tendencia más amplia de colaboración e innovación dentro del ecosistema PHAAS», señaló ProDaft en abril.
Las campañas de phishing que utilizan Lighthouse han utilizado URL que se hace pasar por el Servicio Postal Albaniano PostA Shqiptare, mientras sirve el mismo sitio de compras falsas a los no objetivo, lo que sugiere un posible vínculo entre Lucid y Lighthouse.
«Lucid y Lighthouse son ejemplos de cuán rápido pueden ocurrir el crecimiento y la evolución de estas plataformas y lo difíciles que a veces pueden ser para interrumpir», dijo el investigador de Netcraft Harry Everett.
El desarrollo se produce cuando la compañía con sede en Londres reveló que los ataques de phishing se están alejando de los canales de comunicación como Telegram para transmitir datos robados, pintando una imagen de una plataforma que ya no es probable que se considere un refugio seguro para los ciberdelincuentes.
En su lugar, los actores de amenazas están volviendo al correo electrónico como canal para cosechar credenciales robadas, y Netcraft vio un aumento del 25% en un lapso de un mes. También se ha encontrado que los ciberdelincuentes utilizan servicios como correos electrónicos para cosechar detalles de inicio de sesión y códigos de autenticación de dos factores (2FA) de las víctimas, eliminando la necesidad de organizar su propia infraestructura por completo.
«Este resurgimiento se debe en parte a la naturaleza federada del correo electrónico, lo que hace que los derribos sean más difíciles», dijo el investigador de seguridad Penn Mackintosh. «Cada dirección o relé SMTP debe informarse individualmente, a diferencia de las plataformas centralizadas como Discord o Telegram. Y también se trata de conveniencia. Crear una dirección de correo electrónico desechable sigue siendo rápida, anónima y prácticamente gratuita».
Los hallazgos también siguen la aparición de nuevos dominios parecidos que utilizan el personaje japonés de Hiragana «ん» para pasar las URL del sitio web falso como casi idéntico a sus legítimos en lo que se llama un ataque de homoglífico. No menos de 600 dominios falsos que empleen esta técnica se han identificado en ataques dirigidos a usuarios de criptomonedas, con el primer uso registrado que data del 25 de noviembre de 2024.
Estas páginas se hacen pasar por extensiones legítimas del navegador en la tienda web de Chrome, engañando a los usuarios desprevenidos a instalar aplicaciones de billetera falsas para Phantom, Rabby, OKX, Coinbase, Metamask, Exodus, Pancakeswap, Bitget y confianza que están diseñados para capturar información del sistema o cosechas de recolectas, dando a los atacantes el control total sobre sus Wallets.
«De un vistazo rápido, está destinado a parecerse a una barra de avance ‘/'», dijo Netcraft. «Y cuando se deja caer en un nombre de dominio, es fácil ver cómo puede ser convincente. Ese pequeño intercambio es suficiente para que un dominio del sitio de phishing se vea real, que es el objetivo de las amenazas que los actores que intentan robar los inicios e información personal o distribuir malware».
En los últimos meses, las estafas también han explotado las identidades de marca de empresas estadounidenses como Delta Airlines, AMC Theatres, Universal Studios y Epic Records para inscribir a personas en esquemas que ofrecen una forma de ganar dinero completando una serie de tareas, como operar como agente de reserva de vuelos.
La captura aquí es que para hacerlo, se les pide a las posibles víctimas que depositen al menos $ 100 en criptomonedas a sus cuentas, lo que permite a los actores de amenaza obtener ganancias ilícitas.
La estafa de tareas «ilustra cómo los actores oportunistas están armando las plantillas de impersonación de marca impulsadas por la API para escalar el fraude motivado financieramente en múltiples verticales», dijo el investigador de Netcraft Rob Duncan.
