01/04/25
Киберпреступники из Китая активно продвигают фишинговую платформу Lucid, предназначенную для массовых атак на пользователей мобильных устройств. С момента запуска в середине 2023 года, она была использована для атак на 169 организаций в 88 странах, согласно Securitylab. В отличие от традиционных рассылок через SMS, Lucid задействует защищённые каналы связи — iMessage от Apple и RCS на Android, что помогает обойти антиспам-фильтры и значительно увеличить охват.
Платформа распространяется по модели подписки через Telegram-канал, где уже насчитывается около 2000 участников. За еженедельную оплату злоумышленники получают доступ к более чем тысяче фишинговых доменов, продвинутым инструментам рассылки и функциям генерации поддельных сайтов. Такие сайты стилизованы под популярные сервисы и государственные структуры, включая USPS, DHL, Amazon, Amex, HSBC, E-ZPass и другие.
Специалисты Prodaft выяснили, что за Lucid стоит китайская группировка XinXin, ранее замеченная в использовании другой аналогичной платформы Darcula v3. Данный факт может указывать на технологическое или организационное пересечение между двумя сервисами.
Lucid ежедневно рассылает до 100 тысяч фишинговых сообщений, часто под видом уведомлений о налогах, доставке или штрафах за неоплаченные дороги. Такие сообщения сопровождаются подделанными логотипами, адаптированы под язык и регион жертвы и снабжены фильтрами геолокации для повышения вероятности отклика.
Prodaft опубликовала видеозапись, на которой атаки совершаются прямо из движущегося автомобиля. По словам аналитиков, такие демонстрации служат рекламой: они подчёркивают простоту вовлечения в фишинг даже для людей без технической подготовки.
На фишинговых страницах жертвы вводят личные и платёжные данные — имя, адрес, номер карты и прочую чувствительную информацию. Рабочие карты впоследствии продаются другим преступникам или используются для прямого хищения средств.
Использование Lucid снижает входной порог в сферу киберпреступности. Новички могут организовать фишинговую кампанию без серьёзных технических навыков или вложений, что способствует распространению таких атак и повышает их организованность. По данным Prodaft, широкое распространение Lucid связано не только с техническими преимуществами платформы, но и с её коммерческой моделью. Регулярные обновления, автоматизация и удобство интерфейса делают сервис привлекательным для злоумышленников, ориентированных на массовые и дешёвые атаки.
