网络安全领域正面临着日益增长的威胁,这些威胁来自复杂的“钓鱼即服务”(PhaaS)平台,它们通过降低全球欺诈者的技术门槛,让网络犯罪变得更加大众化。
在这些新兴威胁中,Lucid PhaaS平台已成为地下经济中一股强大的力量,它使大规模钓鱼活动能够在多个大洲和行业领域开展。
安全研究人员发现了一个以Lucid PhaaS为核心的庞大犯罪基础设施,该基础设施已成功部署超过17500个钓鱼域名,针对分布在74个国家的316个知名品牌。
这一规模是迄今为止有记录的最大型PhaaS运营之一,彰显了该平台先进的功能以及在网络犯罪分子中的广泛采用。
该业务涵盖金融机构、政府机构、邮政服务和收费公司等多个行业,这表明该平台在模拟各种组织结构和品牌标识方面具有多功能性。
该活动的地理覆盖范围从北美和欧洲的主要金融中心延伸至亚洲、非洲和拉丁美洲的新兴市场,这表明其是一项协调的全球行动,而非孤立的区域活动。
该业务涵盖金融机构、政府机构、邮政服务和收费公司等多个行业,这表明该平台在模拟各种组织结构和品牌标识方面具有多功能性。
该活动的地理覆盖范围从北美和欧洲的主要金融中心延伸至亚洲、非洲和拉丁美洲的新兴市场,这表明其是一项协调的全球行动,而非孤立的区域活动。
Netcraft的分析师通过先进的指纹识别技术和关联分析识别出了这种恶意软件,这些技术通过共享的反监控基础设施和相同的模板系统,将Lucid与其配套平台Lighthouse PhaaS联系了起来。
调查显示,Lucid采用基于订阅的模式运营,网络犯罪分子每月支付费用,以获取预配置的钓鱼模板和托管基础设施的访问权限。
该平台内的每个钓鱼模板都有一个唯一标识符,例如在对某个金融机构仿冒活动的分析中发现的“kuda295”主题。
这种命名规范使操作人员能够高效管理多个并发活动,同时保持运营安全性。
高级规避与反监控机制
Lucid 钓鱼即服务(PhaaS)采用了复杂的检测规避技术,这代表着钓鱼技术的重大进步。
该平台实施了一个多层过滤系统,通过多种技术机制保护恶意内容免受安全研究人员和自动检测系统的影响。
主要的规避技术要求访问者访问特定的URL路径,例如“/servicios”,这些路径由欺诈者动态配置,并且在针对相同品牌的不同活动中存在显著差异。
这种基于路径的过滤使自动检测变得困难,因为安全系统无法预测所需的访问模式。
此外,该平台通过要求来自特定代理国家的连接来实施地理限制,从而有效减少来自已知分析中心的安全研究人员的接触机会。
用户代理过滤是另一个关键的规避层,Lucid需要移动设备签名才能显示钓鱼内容。
这一限制与该平台的目标策略相符,因为移动用户通常安全意识较低,且所使用的设备安全工具也较为有限。
当访客不符合这些标准时,Lucid会展示逼真的虚假电子商务店面,这些店面以鞋子或女装等产品为特色,配有专业的布局和产品目录。
这些反监控页面具有双重目的,既维持着合法商业的假象,又掩盖着背后的犯罪基础设施。
安全研究人员在分析可疑域名时,会遇到看似无害的购物网站,这可能导致他们将这些域名归类为误报。
这种欺骗技术显著延长了恶意域名的运营寿命,并降低了成功取缔这些域名的可能性。
这些复杂的虚假店铺门面展示了该平台对视觉真实性和用户体验设计的重视,这使得自动系统和人工分析师的检测工作变得越来越困难。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
