'Lucid' phishing-as-a-service mengeksploitasi kesalahan di iMessage, Android RCS

Diperbarui

Operasi phishing Cina menyebarkan penipuan yang sangat efektif dengan mengeksploitasi protokol pesan seluler.

IMessage dan Rich Communication Services (RCS) adalah cara yang lebih disukai untuk mengirim pesan kepada orang lain menggunakan iPhone atau Android Anda. Berbeda dengan layanan pesan pendek dan multimedia (SMS/MMS), mereka menawarkan enkripsi end-to-end, pesan baca-ulang, media berkualitas lebih tinggi, dan karakter yang lebih longgar dan batasan ukuran file. Tapi sekarang, pengembang malware Cina telah menemukan cara untuk merusak fitur mereka yang lebih canggih.

Hasilnya adalah “jern,” a phishing-as-a-service (phaas) platform dari orang -orang yang membawa Anda Darcula. Lucid memotong atau mengambil keuntungan dari apa yang akan dilihat, dalam konteks lain, sebagai manfaat untuk iMessage dan RC, membalikkan mereka ke kepala mereka ke efek jahat. Dan itu jelas berfungsi: data operasional yang dikumpulkan oleh perusahaan cyber-intelligence Prodaft menunjukkan hal itu Kampanye Lucid berhasil sekitar 5% dari waktu – Tingkat pengembalian yang relatif luar biasa – terhadap target di enam benua.

Peneliti ProPaft melacak jernih yang menyamar sebagai 169 organisasi yang tersebar di 88 negara. Ini termasuk daftar cucian Layanan Pos Nasional (The Australia Post, Botswana Post, The Royal Mail, dll.), Layanan Kurir (misalnya, cabang DHL di Jerman, Irak, dan Madagaskar), serta layanan pengiriman makanan, pengecer, lembaga keuangan, lembaga pemerintah, dll.

Terkait:Beyond Stix: Kecerdasan Ancaman Cyber ​​Tingkat Berikutnya

“Baik individu maupun organisasi harus khawatir,” kata seorang perwakilan ProPaft. “Individu berisiko kehilangan finansial dan pencurian identitas. Organisasi menghadapi kerusakan merek dan kehilangan kepercayaan publik ketika nama dan logo mereka disalahgunakan.”

Tampilan Jernih Lucid

Pernahkah Anda menerima salah satu pesan teks yang memperingatkan Anda tentang Tol yang belum dibayaratau mungkin pembayaran pengiriman atau pajak?

Begitulah cara para korban Lucid terpikat untuk memanfaatkan tautan phishing, yang mengarahkan mereka ke halaman arahan yang tampak sah yang dibuat agar terlihat seperti layanan pos, perusahaan kurir, lembaga pengembalian pajak, dll. Di sana, mereka diminta untuk memasukkan informasi kartu kredit mereka.

Dengan Lucid, aktor ancaman dapat merancang kampanye phishing yang meniru nama domain merek tertentu, ikonografi, dan banyak lagi. Biasanya, kampanye ini akan meniru jenis tol dan merek pengiriman semacam itu.

Mereka dapat membatasi kampanye tersebut untuk perangkat tertentu – iPhone atau Android – atau bidang geografis yang menarik. Mereka juga dapat memotong deteksi menggunakan URL serba guna terbatas waktu, yang kedaluwarsa atau mengarahkan target jika perangkat mereka tidak memenuhi kondisi yang telah ditentukan sebelumnya. Dan situs phishing mungkin hanya terisi ketika dikunjungi melalui URL yang lebih pendek – yang tiba di suatu iMessage – daripada URL penuh, yang mungkin dicoba oleh analis keamanan siber dalam penyelidikan mereka.

Terkait:Ops publik-swasta net menang besar melawan kejahatan dunia maya Afrika

Beberapa penyerang dapat berkolaborasi dalam proyek-proyek ini, menggunakan kontrol akses berbasis peran untuk membedakan administrator, karyawan, dan tamu. Mereka dapat melacak keberhasilan kampanye mereka secara real-time, dengan data langsung tentang infeksi baru, termasuk apakah korban memasukkan informasi kartu kredit mereka. Dan mereka dapat menjalankan sejumlah kampanye sekaligus. Beberapa pengguna jernih menjalankan peternakan ponsel – lusinan perangkat, semuanya dipersenjatai secara bersamaan untuk mengirim pesan sebanyak mungkin angka.

Pada skala seperti itu, kampanye penipuan berisiko diidentifikasi dan diblokir. Di sinilah trik terbaik Lucid ikut bermain.

Pesan SMS tidak dienkripsi. Secara teoritis, ini memungkinkan penyedia telekomunikasi untuk memindai dan kampanye spam daftar hitam di tingkat jaringan, jika mereka membuat suara yang cukup. Di sisi lain, pesan yang dikirim melalui RCS atau iMessage dienkripsi ujung ke ujung. Meskipun iMessage akan merutekan langsung melalui server Apple, Apple sendiri tidak dapat membaca konten dalam perjalanan. Lucid memanfaatkan ini dengan mengirim teks phishing melalui iMessage dan RCS, mengubah fitur keamanan positif ini di kepalanya.

Terkait:AS melemahkan pertahanan disinformasi, karena Rusia & Cina meningkat

Bahkan jika spam dilindungi dalam perjalanan, ia masih dapat dideteksi setelah mencapai titik akhir. Untuk menghindari meningkatkan alarm pada perangkat Android, Lucid terus -menerus memutar nomor telepon dan domain yang terkait dengan kampanye spam. Dan untuk menghindari menjalankan aturan iMessage di sekitar tautan, pesan pertama yang dikirim ke pengguna iPhone akan meminta mereka untuk membalas dengan “Y,” dengan demikian membangun komunikasi yang lebih sah yang terlihat bolak-balik.

Serangan phishing di seluruh dunia

Lucid sekarang menjadi salah satu pendorong utama phishing di AS, Inggris, dan Eropa. Tujuannya adalah untuk mencuri nomor kartu kredit, dan kelompok di belakang Lucid dan Darcula – “Xinxin,” alias “Teknologi Hitam” – mengklaim memanen lebih dari 100.000 kartu per hari.

Bahkan jika angka itu berlebihan, bilangan real mungkin tidak begitu menghibur. Para peneliti menemukan contoh situs phishing jernih yang telah menerima 550 halaman kunjungan dan berhasil menyerap 30 nomor kartu kredit hanya dalam waktu seminggu. Platform penjualan Lucid di Telegram menjadi tuan rumah 2.000 anggota, dan beberapa anggota itu menjalankan peternakan mobile.

“[The] Tingkat keberhasilan secara signifikan lebih tinggi dari apa yang biasanya diamati dalam operasi phishing-yang sebagian besar melihat tingkat konversi di bawah 2%, “catatan perwakilan propaft. Dia mengaitkan keberhasilan yang berhasil dengan tipuan aplikasi pesan platform, kemampuan geofencing, dan kesuksesan yang tidak dapat diselesaikan, dan kredibilitas yang tidak dapat diselesaikan, semua yang berkaitan dengan convining, dan kredibilitas yang sama-sama. perhatian, “katanya.

Kisah ini diperbarui pada pukul 17:15 ET pada 26 Maret 2025, untuk mencerminkan pelaporan dan komentar tambahan.