Эксперты компании Catalyst обнаружили крупную китайскую ферму из устройств. Злоумышленники используют устройства на ОС iOS и Android и рассылают с них до 100 тысяч мошеннических сообщений в день, компрометируя iMessage и Android RCS. Атака связана с PhaaS-платформой Lucid.
Справка. Lucid — усовершенствованная PhaaS-платформа (фишинг как услуга), управляемая китайскими хакерами. Их цель — подделка сайтов 169 организаций в 88 странах по всему миру, среди которых DHL, Белпочта, Lufthansa и даже сайт правительства Великобритании. В распоряжении злоумышленников находятся 129 активных серверов и более 1000 доменов. Это ставит инфраструктуру вредоносной сети в один ряд с другими известными фишинговыми сервисами, такими как Dracula и Lighthouse.
Смишинг и кража данных с банковских карт
С помощью мошеннических сайтов и фермы устройств злоумышленники способны проводить крупномасштабные фишинговые кампании для кражи банковских данных. Платформа использует автоматизированный механизм атак, используя настраиваемые сайты и SMS-рассылки. Также этот тип атак носит название смишинг.
Злоумышленники рассылают вредоносный спам на телефоны случайных пользователей, маскируя их под легитимные сообщения от логистических компаний и государственных организаций со ссылками на фишинговые сайты-дубли. Чтобы обмануть пользователей, они прибегают к методам социальной инженерии, поэтому в сообщениях упоминаются неуплаченные налоги, сборы, требование оплатить доставку и т. д.
После перехода на вредоносный сайт пользователи оставляют свои банковские данные, адреса эл. почты, логины и пароли, которые попадают в руки злоумышленников.
Кибермошенники используют фермы устройств для проведения спам-атак. Несколько мобильных устройств используются одновременно для отправки сообщений. Вот пример такой фермы:
Для повышения эффективности Lucid использует технологию iMessage в Apple и RCS в Android. Это позволяет обходить традиционные фильтры SMS-спама и значительно повышает эффективность доставки вредоносных сообщений. Для этого они используют эмуляторы мобильных устройств.
Блокировка по IP и фильтрация user-agent
Чтобы избежать обнаружения, кибермошенники используют блокировку IP-адресов и фильтрацию пользовательских агентов. Также эксперты обнаружили, что фишинговая платформа оснащена встроенным валидатором карт, который позволяет им проверять и использовать украденные данные банковских карт.
Фишинг в аренду
Хакерская группировка использует свою инфраструктуру не только в личных целях, но и монетизирует её, сдавая в аренду. Мошенники создали отдельный канал в Telegram, который на текущий момент насчитывает более 2000 участников.
Мошенническая платформа Lucid представляет собой серьезную киберугрозу, учитывая наличие огромного количества фишинговых сайтов, ферм из устройств и отлаженную инфраструктуру доставки вредоносных сообщений.
Ранее мы рассказывали, что такое бот-фермы и как их используют злоумышленники для атак.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
