HackerNews 编译,转载请注明出处:
一个名为Lucid的新型复杂网络钓鱼即服务(PhaaS)平台,利用通过苹果iMessage和安卓富通信服务(RCS)传播的短信网络钓鱼消息,攻击了88个国家的169个实体。
Lucid的独特卖点在于其利用合法通信平台来绕过传统的基于短信的检测机制。
瑞士网络安全公司PRODAFT在与《黑客新闻》分享的一份技术报告中表示:“其可扩展的订阅模式使网络犯罪分子能够开展大规模网络钓鱼活动,以获取信用卡信息进行金融欺诈。”
“Lucid利用苹果iMessage和安卓的RCS技术,绕过了传统的短信垃圾邮件过滤器,显著提高了投递和成功率。”
Lucid被认为是讲中文的黑客组织XinXin(又名Black Technology)的作品,网络钓鱼活动主要针对欧洲、英国和美国,意图窃取信用卡数据和个人身份识别信息(PII)。
网络安全
更重要的是,该服务背后的威胁行为者还开发了其他PhaaS平台,如Lighthouse和Darcula,后者已更新为能够克隆任何品牌的网站以创建网络钓鱼版本。Lucid的开发者是代号为LARVA-242的威胁行为者,他也是XinXin组织的关键人物。
这三个PhaaS平台在模板、目标池和战术上有重叠,暗示了一个繁荣的地下经济,讲中文的行为者利用Telegram以订阅方式宣传他们的产品以获取利润。
利用这些服务的网络钓鱼活动被发现冒充邮政服务、快递公司、收费支付系统和税务退款机构,使用令人信服的网络钓鱼模板欺骗受害者提供敏感信息。
这些大规模活动在后端通过iPhone设备农场和在Windows系统上运行的移动设备模拟器来发送数十万条包含虚假链接的诈骗消息。目标电话号码是通过各种方法获得的,如数据泄露和网络犯罪论坛。
“对于iMessage的链接点击限制,他们采用‘请回复Y’技术来建立双向通信,”PRODAFT解释说。“对于谷歌的RCS过滤,他们不断轮换发送域/号码以避免模式识别。”
iMessage和RCS短信网络钓鱼
“对于iMessage,这涉及创建具有冒充显示名称的临时Apple ID,而RCS利用运营商在发送者验证中的实现不一致性。”
除了提供简化可定制网络钓鱼网站创建的自动化工具外,这些页面本身还结合了高级反检测和规避技术,如IP阻止、用户代理过滤和限时单次使用URL。
Lucid还支持通过面板实时监控受害者活动并记录与网络钓鱼链接的每一次交互,使其客户能够提取输入的信息。受害者提交的信用卡详细信息会经过额外的验证步骤。该面板是使用开源的Webman PHP框架构建的。
“Lucid PhaaS面板揭示了一个高度组织化和相互关联的网络钓鱼即服务平台生态系统,这些平台由讲中文的威胁行为者运营,主要在XinXin组织下,”该公司表示。
“XinXin组织开发和利用这些工具,并通过出售窃取的信用卡信息获利,同时积极监控和支持类似PhaaS服务的发展。”
值得注意的是,PRODAFT的发现与Palo Alto Networks Unit 42的发现相呼应,后者最近指出一些未具名的威胁行为者利用域名模式“com-”注册了超过10,000个域名,通过苹果iMessage传播各种短信网络钓鱼骗局。
随着Barracuda警告2025年初PhaaS攻击大幅增加,使用Tycoon 2FA、EvilProxy和Sneaky 2FA,这些服务分别占所有PhaaS事件的89%、8%和3%。
“网络钓鱼邮件是许多攻击的入口,从凭证盗窃到金融欺诈、勒索软件等等,”Barracuda安全研究员Deerendra Prasad表示。“推动网络钓鱼即服务的平台越来越复杂和隐蔽,使得传统安全工具更难检测网络钓鱼攻击,并且在造成损害方面更强大。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
