Lucid adlı yeni bir Sofistike Kimlik Avı (PHAAS) platformu, 88 ülkede Apple IMessage ve Rich İletişim Hizmetleri (RCS) aracılığıyla yayılan mesajlar kullanan 88 ülkede 169 varlığı hedefledi.
Lucid’in benzersiz satış noktası, geleneksel SMS tabanlı algılama mekanizmalarını ortadan kaldırmak için meşru iletişim platformlarının silahlanmasında yatmaktadır.
Hacker News ile paylaşılan teknik bir raporda, “Ölçeklenebilir, abonelik tabanlı modeli, siber suçluların finansal sahtekarlık için kredi kartı detaylarını toplamak için büyük ölçekli kimlik avı kampanyaları yapmalarını sağlıyor.” Dedi.
“Lucid, geleneksel SMS spam filtrelerini atlayarak ve teslimat ve başarı oranlarını önemli ölçüde artırarak Apple Imessage ve Android’in RCS teknolojisini kullanıyor.”
Lucid, Xinxin Grubu (diğer adıyla Black Technology) adlı Çince konuşan bir hack ekibinin çalışması olarak değerlendiriliyor ve kimlik avı kampanyaları, ağırlıklı olarak Avrupa, Birleşik Krallık ve Amerika Birleşik Devletleri’ni kredi kartı verilerini ve kişisel olarak tanımlanabilir bilgileri (PII) çalmak amacıyla hedef alan.
Hizmetin arkasındaki tehdit aktörleri, daha da önemlisi, Lighthouse ve Darcula gibi diğer PHAAS platformları geliştirdi, ikincisi bir kimlik avı sürümü oluşturmak için herhangi bir markanın web sitesini klonlamak için yeteneklerle güncellendi. Lucid’in geliştiricisi, aynı zamanda Xinxin grubunda da önemli bir figür olan Larva-242 kodlu bir tehdit oyuncusudur.
Üç Phaas platformunun tümü, Çince konuşan aktörlerin Warez’i kâr odaklı motifler için abonelik temelinde reklam vermek için telgraftan yararlandığı gelişen bir yeraltı ekonomisine dahil olmak üzere şablonlar, hedef havuzlar ve taktiklerdeki örtüşmeyi paylaşıyor.
Bu hizmetlere dayanan kimlik avı kampanyalarının, kurbanları hassas bilgiler sağlamak için aldatmak için ikna edici kimlik avı şablonlarını istihdam ettiği, posta hizmetleri, kurye şirketleri, ücretli ödeme sistemleri ve vergi iadesi kuruluşları taklit ettiği bulunmuştur.
Büyük ölçekli etkinlikler, koordineli bir şekilde sahte bağlantılar içeren yüz binlerce dolandırıcılık mesajı göndermek için Windows sistemlerinde çalışan iPhone cihaz çiftlikleri ve mobil cihaz emülatörleri aracılığıyla arka uçta güçlendirilir. Hedeflenecek telefon numaraları, veri ihlalleri ve siber suç forumları gibi çeşitli yöntemlerle elde edilir.
Protaft, “IMessage’ın bağlantı tıklatma kısıtlamaları için, iki yönlü iletişim kurmak için ‘lütfen Y ile cevap’ tekniklerini kullanıyorlar.” “Google’ın RCS filtrelemesi için, kalıp tanımayı önlemek için sürekli olarak gönderme alanlarını/sayılarını döndürürler.”
“IMessage için bu, kimliğe bürünmüş ekran adlarıyla geçici Apple kimlikleri oluşturmayı içerirken, RCS sömürüsü gönderen doğrulamasında taşıyıcı uygulama tutarsızlıklarından yararlanır.”
Özelleştirilebilir kimlik avı web sitelerinin oluşturulmasını basitleştiren otomasyon araçları sunmanın yanı sıra, sayfaların kendileri IP engelleme, kullanıcı ajanı filtreleme ve zaman sınırlı tek kullanımlık URL’ler gibi gelişmiş önleme ve kaçış tekniklerini içeriyor.
Lucid ayrıca kurban faaliyetlerini izleme ve kimlik avı bağlantıları ile her bir etkileşimi bir panel aracılığıyla gerçek zamanlı olarak kaydetme yeteneğini destekleyerek müşterilerinin girilen bilgileri çıkarmasına izin verir. Mağdurlar tarafından gönderilen kredi kartı ayrıntıları ek doğrulama adımlarına tabidir. Panel, açık kaynaklı Webman PHP çerçevesi kullanılarak oluşturulmuştur.
Şirket, “Lucid PHAAS paneli, Çince konuşan tehdit aktörleri tarafından işletilen, öncelikle Xinxin Grubu altında olmak üzere, hizmet avı platformlarının son derece organize ve birbirine bağlı bir ekosistemini ortaya koydu.” Dedi.
“Xinxin Grubu, benzer PHAAS hizmetlerinin gelişimini aktif olarak izlerken ve desteklerken çalınan kredi kartı bilgilerini satmaktan bu araçları ve karları geliştirir ve kullanır.”
Prodaft’tan elde edilen bulguların, yakın zamanda belirtilmemiş tehdit aktörlerini Apple IMessage aracılığıyla çeşitli SMS kimlik avı dolandırıcılığını yaymak için 10.000’den fazla alan kaydetmeye yönelik alan desenini kullandıkları için belirtilmemiş tehdit aktörlerini çağıran Palo Alto Networks Birimi 42’yi yansıttığını belirtmek gerekir.
Gelişme, Barracuda’nın 2025 yılının başlarında Phaas saldırılarında kralı 2FA, EvilProxy ve Sneaky 2FA kullanarak “büyük bir artış” konusunda uyarıldığı gibi geliyor ve her hizmet sırasıyla tüm PHAAS olaylarının%89,%8 ve%3’ünü oluşturuyor.
Barracuda güvenlik araştırmacısı Deerendra Prasad, “Kimlik avı e -postaları, kimlik bilgisi hırsızlığından finansal sahtekarlığa, fidye yazılımlarına ve daha fazlasına kadar birçok saldırı için ağ geçididir.” Dedi. Diyerek şöyle devam etti: “Hizmet olarak kimlik avı güçlendiren platformlar giderek daha karmaşık ve kaçınılmazdır, bu da kimlik avı saldırılarını geleneksel güvenlik araçlarının tespit etmesi için daha da zorlaştırır ve yapabilecekleri hasar açısından daha güçlü hale getirir.”