Услуги фишинга как сервиса (Phishing-as-a-Service, PhaaS), известные как Lighthouse и Lucid, связаны с более чем 17 500 фишинговыми доменами, нацеленными на 316 брендов из 74 стран.
Платформа Lucid впервые была описана швейцарской кибербезопасной компанией PRODAFT в апреле этого года. В отчёте были подробно изложены возможности фишингового комплекта отправлять SMS-фишинг (smishing) через Apple iMessage и RCS (Rich Communication Services) для Android.
Предполагается, что за сервисом стоит китайскоязычная хакерская группа XinXin (также известная как changqixinyun), которая также использует другие фишинговые комплекты, такие как Lighthouse и Darcula. Последний атрибуцирован к группе LARVA-246 (также известной как X667788X0 или xxhcvv), в то время как разработка Lighthouse приписывается LARVA-241 (также известной как Lao Wang или Wang Duo Yu).
Атаки используют различные фильтры, включая проверку мобильного User-Agent, страны прокси или даже специально заданного пути, чтобы только целевая жертва могла получить доступ к фишинговой ссылке. Всем остальным показывается поддельный интернет-магазин.
Всего Netcraft обнаружила фишинговые URL-адреса, нацеленные на 164 бренда из 63 стран, размещённые через платформу Lucid. В свою очередь, фишинговые ссылки Lighthouse атакуют 204 бренда из 50 стран.
Как и Lucid, Lighthouse предлагает настройку шаблонов, отслеживание жертв в реальном времени, и может создавать фишинговые шаблоны для более чем 200 платформ по всему миру. Цены на Lighthouse варьируются от 88 долларов в неделю до 1 588 долларов в год.
Некоторые фишинговые кампании Lighthouse использовали ссылки, имитирующие албанскую почтовую службу Posta Shqiptare, при этом нецелевым пользователям также показывался фальшивый интернет-магазин — что может указывать на связь между Lucid и Lighthouse.
На смену им возвращается электронная почта, через которую теперь массово похищают учётные данные. Только за месяц Netcraft зафиксировала рост на 25%.
Киберпреступники также начали использовать сторонние сервисы, такие как EmailJS, чтобы собирать логины и коды двухфакторной аутентификации (2FA) — без необходимости развёртывать собственную инфраструктуру.
Было выявлено не менее 600 доменов, использующих эту технику в атаках на пользователей криптовалютных кошельков, начиная с 25 ноября 2024 года.
Эти страницы маскируются под легитимные расширения в Chrome Web Store, побуждая пользователей установить фальшивые кошельки, такие как Phantom, Rabby, OKX, Coinbase, MetaMask, Exodus, PancakeSwap, Bitget и Trust. Цель — сбор информации о системе или начальных фраз (seed phrases), что позволяет атакующим полностью захватить контроль над кошельками жертв.
Но перед началом работы пользователю предлагают внести депозит в криптовалюте на сумму не менее 100 долларов — что и становится источником дохода для мошенников.
- Источник: https://thehackernews.com/2025/09/17500-phishing-domains-target-316.html
Платформа Lucid впервые была описана швейцарской кибербезопасной компанией PRODAFT в апреле этого года. В отчёте были подробно изложены возможности фишингового комплекта отправлять SMS-фишинг (smishing) через Apple iMessage и RCS (Rich Communication Services) для Android.
Предполагается, что за сервисом стоит китайскоязычная хакерская группа XinXin (также известная как changqixinyun), которая также использует другие фишинговые комплекты, такие как Lighthouse и Darcula. Последний атрибуцирован к группе LARVA-246 (также известной как X667788X0 или xxhcvv), в то время как разработка Lighthouse приписывается LARVA-241 (также известной как Lao Wang или Wang Duo Yu).
Масштабные фишинговые кампании
Платформа Lucid PhaaS позволяет клиентам запускать широкомасштабные фишинговые кампании, нацеленные на различные отрасли — транспорт, государственные учреждения, почтовые службы и финансовые организации.Атаки используют различные фильтры, включая проверку мобильного User-Agent, страны прокси или даже специально заданного пути, чтобы только целевая жертва могла получить доступ к фишинговой ссылке. Всем остальным показывается поддельный интернет-магазин.
Всего Netcraft обнаружила фишинговые URL-адреса, нацеленные на 164 бренда из 63 стран, размещённые через платформу Lucid. В свою очередь, фишинговые ссылки Lighthouse атакуют 204 бренда из 50 стран.
Как и Lucid, Lighthouse предлагает настройку шаблонов, отслеживание жертв в реальном времени, и может создавать фишинговые шаблоны для более чем 200 платформ по всему миру. Цены на Lighthouse варьируются от 88 долларов в неделю до 1 588 долларов в год.
Некоторые фишинговые кампании Lighthouse использовали ссылки, имитирующие албанскую почтовую службу Posta Shqiptare, при этом нецелевым пользователям также показывался фальшивый интернет-магазин — что может указывать на связь между Lucid и Lighthouse.
Возвращение к электронной почте и новые атаки
По мере развития ситуации, компания Netcraft отмечает, что фишинговые атаки отказываются от использования Telegram и других мессенджеров для передачи украденных данных, так как эти каналы больше не считаются безопасными для киберпреступников.На смену им возвращается электронная почта, через которую теперь массово похищают учётные данные. Только за месяц Netcraft зафиксировала рост на 25%.
Киберпреступники также начали использовать сторонние сервисы, такие как EmailJS, чтобы собирать логины и коды двухфакторной аутентификации (2FA) — без необходимости развёртывать собственную инфраструктуру.
Атаки с поддельными доменами и вредоносными расширениями
Исследователи также сообщили о появлении новых доменных имён-двойников, использующих японский символ хираганы "ん", который визуально напоминает символ «/». Эти атаки называются гомоглифными — они вводят в заблуждение, подделывая адреса легитимных сайтов.Было выявлено не менее 600 доменов, использующих эту технику в атаках на пользователей криптовалютных кошельков, начиная с 25 ноября 2024 года.
Эти страницы маскируются под легитимные расширения в Chrome Web Store, побуждая пользователей установить фальшивые кошельки, такие как Phantom, Rabby, OKX, Coinbase, MetaMask, Exodus, PancakeSwap, Bitget и Trust. Цель — сбор информации о системе или начальных фраз (seed phrases), что позволяет атакующим полностью захватить контроль над кошельками жертв.
Мошеннические "задания" и использование брендов
В последние месяцы также выявлены мошеннические схемы, использующие бренды американских компаний — Delta Airlines, AMC Theatres, Universal Studios и Epic Records. Жертвам предлагают выполнять задания (например, бронирование авиабилетов) якобы для заработка.Но перед началом работы пользователю предлагают внести депозит в криптовалюте на сумму не менее 100 долларов — что и становится источником дохода для мошенников.
- Источник: https://thehackernews.com/2025/09/17500-phishing-domains-target-316.html