Olarak bilinen hizmet olarak kimlik avı (PHAA’lar) Deniz feneri Ve Berrak 74 ülkeden 316 markayı hedefleyen 17.500’den fazla kimlik avı alanıyla bağlantılıdır.
Netcraft yeni bir raporda, “Hizmet olarak kimlik avı (PHAAS) dağıtımları son zamanlarda önemli ölçüde arttı.” Dedi. “PHAAS operatörleri, bazı durumlarda dünyadaki ülkelerden yüzlerce markayı taklit eden önceden yüklenmiş şablonlarla kimlik avı yazılımı için aylık bir ücret alıyorlar.”
Lucid, ilk olarak bu Nisan ayında İsviçre siber güvenlik şirketi Prodaft tarafından belgelendi ve kimlik avı kitinin Android için Apple iMessage ve Zengin İletişim Hizmetleri (RC’ler) aracılığıyla smaççı mesajlar gönderme yeteneğini detaylandırdı.
Hizmet, operasyonlarında Lighthouse ve Darcula gibi diğer kimlik avı kitlerini de kullanan Xinxin Grubu (Changqixinyun) olarak bilinen Çince konuşan bir tehdit aktörünün çalışması olarak değerlendiriliyor. Darcula, Larva-246 (AKA x667788x0 veya xxhcvv) adlı bir aktör tarafından geliştirilirken, deniz fenerinin gelişimi Larva-241 (aka Lao Wang veya Wang Duo Yu) ile bağlantılıdır.
Lucid PHAAS platformu, müşterilerin pist şirketleri, hükümetler, posta şirketleri ve finansal kurumlar da dahil olmak üzere çok çeşitli endüstrileri hedefleyen kimlik avı kampanyalarını ölçeklendirmelerini sağlar.
Bu saldırılar ayrıca, yalnızca amaçlanan hedeflerin kimlik avı URL’lerine erişebilmesini sağlamak için belirli bir mobil kullanıcı ajanı, proxy ülke veya sahtekarlık tarafından yapılandırılmış bir yol gerektirme gibi çeşitli kriterleri de içermektedir. Hedef dışındaki bir kullanıcı URL’yi ziyaret ederse, bunun yerine genel bir sahte mağaza servis edilir.
Toplamda Netcraft, Lucid platformu aracılığıyla ev sahipliği yapan 63 farklı ülkede 164 markayı hedefleyen kimlik avı URL’lerini tespit ettiğini söyledi. Deniz Feneri Kimlik Avı URL’leri 50 farklı ülkede 204 markayı hedef aldı.
Deniz Feneri, Lucid gibi, şablon özelleştirme ve gerçek zamanlı kurban izleme sunar ve dünya çapında 200’den fazla platform için kimlik avı şablonları oluşturma yeteneğine sahiptir ve bu da iki PHAAS araç seti arasında önemli çakışmalara işaret eder. Deniz feneri fiyatları bir hafta boyunca 88 $ ‘dan yıllık abonelik için 1.588 $’ a kadar değişmektedir.
“Deniz feneri Xinxin Grubu’ndan bağımsız olarak çalışırken, altyapı ve hedefleme kalıpları açısından Lucid ile hizalanması, Phaas ekosisteminde daha geniş işbirliği ve yenilik eğilimini vurgulamaktadır.”
Lighthouse kullanan kimlik avı kampanyaları, Arnavut Posta Servisi Posta Shqiptare’yi taklit eden URL’leri kullanırken, hedef olmayanlara aynı sahte alışveriş sitesini sunarak Lucid ve Deniz Feneri arasında potansiyel bir bağlantı önerdi.
Netcraft araştırmacısı Harry Everett, “Lucid ve Deniz Feneri, bu platformların büyümesinin ve evriminin ne kadar hızlı olabileceğine ve bazen bozulmak için ne kadar zor olabileceğine örnektir.” Dedi.
Geliştirme, Londra merkezli şirketin kimlik avı saldırılarının telgraf gibi iletişim kanallarından çalınan verileri aktarmak için uzaklaştığını ve artık siber suçlular için güvenli bir sığınak olarak kabul edilmesi muhtemel olmayan bir platformun resmini resmediyor.
Onun yerine, tehdit aktörleri, çalıntı kimlik bilgilerini hasat etmek için bir kanal olarak e -postaya geri dönüyor ve NetCraft bir aylık bir artışla% 25’lik bir artış görüyor. Siber suçluların ayrıca giriş bilgilerini hasat etmek için e-posta js ve kurbanlardan iki faktörlü kimlik doğrulama (2FA) kodları gibi hizmetleri kullandıkları ve kendi altyapılarını tamamen barındırma ihtiyacını ortadan kaldırdığı bulunmuştur.
Güvenlik araştırmacısı Penn Mackintosh, “Bu yeniden diriliş kısmen yayından kaldırma işlemlerini zorlaştıran federasyondan kaynaklanıyor.” Dedi. “Her adres veya SMTP rölesi, Discord veya Telegram gibi merkezi platformların aksine ayrı ayrı rapor edilmelidir. Aynı zamanda kolaylık ile ilgilidir. Ateşli bir e -posta adresi oluşturmak hızlı, anonim ve neredeyse ücretsiz kalır.”
Bulgular ayrıca, Japon Hiragana karakteri “ん” kullanarak sahte web sitesi URL’lerini, homoglif saldırısı olarak adlandırılan şeylerde meşru olanlarıyla neredeyse aynı olarak geçmek için yeni benzeyen alanların ortaya çıkmasını takip ediyor. Kripto para birimi kullanıcılarına yönelik saldırılarda, 25 Kasım 2024’e kadar kaydedilen en eski kullanımla bu tekniği kullanan 600’den az sahte alan tanımlanmıştır.
Bu sayfalar, Chrome Web mağazasındaki meşru tarayıcı uzantılarını taklit ederek, şüphesiz kullanıcıları Phantom, Rabby, OKX, Coinbase, Metamask, Çıkış, Pankagewap, Bitget ve Saldırganlara tam kontrolü sağlayan, tohum ifadelerini hasat etmek için tasarlanan fantom, Pankagewap, Bitget ve Güven için aldatıyor.
Netcraft, “Hızlı bir bakışta, ileri eğik çizgi gibi görünmesi amaçlanıyor ‘/” dedi. “Ve bir alan adına düştüğünde, nasıl ikna edici olabileceğini görmek kolaydır. Bu küçük takas, bir kimlik avı alanının gerçek görünmesini sağlamak için yeterlidir, bu da girişleri ve kişisel bilgileri çalmaya veya kötü amaçlı yazılım dağıtmaya çalışan tehdit aktörlerinin amacıdır.”
Son aylarda, dolandırıcılıklar, uçuş rezervasyonu ajanı olarak çalışmak gibi bir dizi görevi tamamlayarak para kazanmanın bir yolunu sunan şemalara kaydetmek için Delta Havayolları, AMC tiyatroları, Universal Studios ve Epic Records gibi Amerikan firmalarının marka kimliklerinden de yararlandı.
Buradaki yakalama, bunu yapabilmek için kurbanlardan hesaplarına en az 100 $ değerinde kripto para yatırmaları isteniyor ve tehdit aktörlerinin yasadışı kar elde etmesine izin veriyor.
Netcraft araştırmacısı Rob Duncan, görev aldatmaca “fırsatçı aktörlerin API odaklı marka inceleme şablonlarını finansal olarak motive edilmiş sahtekarlığı ölçeklendirmek için nasıl silahlandırdıklarını gösteriyor.” Dedi.