Lucid PhaaS, la piattaforma malware di phishing as a service

Cos’è Lucid PhaaS del gruppo cinese XinXin

Lucid PhaaS è una nuova piattaforma di phishing as service recentemente scoperta dagli esperti in cybersecurity. La piattaforma è gestita dal gruppo cinese XinXin, noto gruppo di hacker che l’ha creata nel 2023.
Purtroppo, stando ai dati diffusi dagli esperti, Lucid PhaaS ha già attaccato quasi 170 organizzazioni, situate in 88 Paesi diversi.

L’attacco malware si rivolge agli utenti iOS e Android: questa è la particolarità di questa nuova frode informatica.

Lucid PhaaS e i pericoli per iMessage e Android RSC

A differenza delle consuete campagne di phishing che si svolgono prevalentemente via email, Lucid PhaaS ha un funzionamento diverso. Il gruppo hacker cinese, noto anche come Black Tecnology, ha infatti preso di mira iMessage di iOS e RSC di Android.
Il gruppo cinese ha rivelato di aver inoltrato più di 100mila messaggi di smishing quotidianamente. I mezzi utilizzati, stando alle informazioni fornite da XinXin, sono appunto Apple iMessage e RCS, ossia Rich Communication Services di Android.

La particolarità dell’attacco è i messaggi fraudolenti inviati sono protetti da crittografia. In questo modo, i messaggi sono in grado di superare le protezioni e i filtri anti-spam.

Come funziona la piattaforma di phishing as a service

Secondo le informazioni riportate dagli esperti di sicurezza informatica, Lucid PhaaS è rivenduto ad altri cybercriminali per mezzo di canali Telegram.
In dettaglio, esisterebbe un canale apposito, che vanta più di 2.000 membri e che viene sfruttato per acquistare il Lucid Phishing. Gli hacker vendono Lucid tramite abbonamenti settimanali, che forniscono accesso a più di mille domini di phishing.

In sostanza, la piattaforma malware di phishing as service fornisce agli acquirenti diversi strumenti avanzati. I criminali possono creare nuove campagne e attacchi smishing, oltre che gestirli. Gli attacchi e i malware vengono indirizzati prevalentemente ai clienti con dispositivi mobili. Infatti, gli esperti hanno rilevato che Lucid PhaaS, come anticipavamo, sfrutta le tecnologie iMessage e RCS.

In questo modo, l’ignaro utente crede di aver ricevuto messaggi legittimi, in quanto il filtro anti-spam viene aggirato. Di conseguenza, la probabilità per le vittime di cadere nella truffa è molto elevata.

L’invio di malware e attacchi smishing anche da non esperti

Uno dei dettagli che rende Lucid PhaaS una piattaforma particolarmente pericolosa è che può essere utilizzata anche dai non esperti.
Infatti, basta acquistare un abbonamento settimanale su Telegram per iniziare a inviare malware e attacchi smishing. Anche senza conoscenze tecniche, gli acquirenti possono avviare campagne e mettere a segno una frode informatica.

La licenza della piattaforma mette infatti a disposizione sia modelli di frode personalizzabili, sia strumenti di gestione e analisi. Stando ai dati a disposizione degli esperti di sicurezza, Lucid PhaaS metterebbe anche a disposizione strumenti di test per le carte di credito rubate. Inoltre, permetterebbe la compravendita delle carte di credito, oltre che l’utilizzo delle stesse per ordire altre truffe.

Lucid phishing: le caratteristiche dei messaggi fraudolenti

Il motivo per cui le vittime di Lucid PhaaS sono moltissime deriva dalla capacità dei messaggi di superare i filtri anti-spam. Infatti, gli utenti credono di aver ricevuto dei messaggi da destinatari legittimi. Come avviene in ogni campagna di smishing o phishing, poi, all’utente ignaro vengono richiesti dati personali. In questo modo, i cybercriminali potranno accedere a carte di credito o conti bancari dei poveri malcapitati.

Nel nostro Paese, il Lucid phishing sfrutta moltissimi nomi noti e grandi brand per ordire le truffe informatiche. Tra i nomi più utilizzati, Poste italiane (sia per privati che per clienti business), Autostrade per l’Italia e TIM.
Ma non solo: le campagne di smishing sono spesso camuffate da avvisi fiscali, notifiche di pagamento o avvisi di consegna. Anche grandi brand come Amazon, per esempio, sono spesso utilizzati per mettere a segno la truffa.

Il messaggio fraudolento di solito reindirizza l’utente a un sito web falso e appositamente creato dai cybercriminali. Qui, alla vittima viene richiesto l’inserimento dei dati personali che, di fatto, vengono consegnati agli hacker.
La pagina web è realizzata per imitare in modo convincente l’aspetto di siti ufficiali di noti brand. In questo modo, l’utente viene ingannato e spinto a fornire inconsapevolmente dati personali e finanziari sensibili.

Lucid PhaaS, come difendersi dalla frode informatica

Dopo esserci addentrati nei dettagli relativi al funzionamento di Lucid PhaaS, cerchiamo adesso di capire come difenderci. Trattandosi di una tipologia di truffa informatica molto diffusa, è bene conoscere le misure di sicurezza per proteggersi da attacchi di questo tipo.
Anche perché, come abbiamo anticipato, questa tipologia di frode informatica va spesso a segno. Stando ai dati diffusi dagli esperti, purtroppo, almeno il 5% degli attacchi di questo tipo riesce ad avere successo.

Questo per via delle caratteristiche dei messaggi ricevuti che, sfortunatamente, sembrano provenire da fonti affidabili. Per evitare di cadere vittima delle campagne con Lucid PhaaS, è necessario prestare molta attenzione ai messaggi ricevuti. Anche quando un SMS sembra provenire da istituzioni e fonti veritiere, è bene non fornire i propri dati.

Difficilmente banche, istituti di credito ma anche brand richiedono agli utenti dati personali via SMS. Una richiesta del genere dovrebbe quindi destare dei dubbi. Inoltre, è consigliabile non aprire allegati e link ricevuti tramite SMS.

Un altro consiglio per evitare questa tipologia di truffa è quello di usare credenziali uniche. Questo consiglio, comunque, è valido per arginare ogni tipologia di frode informatica. Qualora una password dovesse cadere nelle mani sbagliate, utilizzarne una diversa per ogni account potrebbe proteggere da danni maggiori.