Ecco Lucid, la piattaforma basata su iPhone che manda 100 mila messaggi di scam al giorno. Anche in Italia

Il gruppo di cybersecurity Catalyst ha scoperto e diffuso numerosi dettagli su Lucid, una piattaforma PhAAS (Phishing-as-a-Service) gestita da attori criminali di lingua cinese che ha colpito centinaia di target in 88 paesi a livello mondiale. Il sistema, operativo dall'estate del 2023, ha trasformato radicalmente l'approccio alle frodi digitali, consentendo ai criminali informatici di condurre operazioni su larga scala per raccogliere dettagli di carte di credito e informazioni personali degli utenti.

La particolarità di Lucid risiede nella sua capacità di aggirare i tradizionali filtri antispam utilizzando Apple iMessage e la tecnologia RCS (Rich Communication Services) di Android. In questo modo, i messaggi fraudolenti riescono a raggiungere direttamente gli utenti aumentando significativamente le percentuali di consegna e successo delle campagne malevole. Fra i paesi coinvolti c'è anche l'Italia, con gli attacchi che hanno previsto l'uso di versioni contraffatte dei siti di Poste Italiane e Poste Italiane Business, TIM e Autostrade per l'Italia, al fine di ingannare gli utenti.

Il Gruppo XinXin e l'ecosistema PhAAS alla base della piattaforma Lucid

Dietro Lucid opera il gruppo XinXin (noto anche come Black Technology), attivo dal 2023 e creatore di altre piattaforme PhAAS come Darcula e Lighthouse. Secondo un rapporto pubblicato da Catalyst, l'organizzazione ha sviluppato un modello di business scalabile e basato su abbonamento che consente a chiunque di acquistare l'accesso alla piattaforma attraverso canali Telegram dedicati. In particolare, le vendite sono iniziate il 5 ottobre 2023 attraverso un canale Telegram gestito da un individuo identificato come LARVA-242 (changqixinyun).

L'aspetto più preoccupante del fenomeno è la portata delle operazioni: i criminali utilizzano "farm" di iPhone per inviare oltre 100 mila messaggi fraudolenti al giorno. I dispositivi sono equipaggiati con ID Apple temporanei in continua rotazione, così da bypassare completamente i sistemi di protezione implementati dagli operatori di telefonia mobile. L'analisi tecnica della piattaforma condotta dal team di sicurezza rivela un sistema estremamente avanzato: Lucid consente agli utenti di creare e personalizzare temi di phishing attraverso un pannello di controllo intuitivo e, una volta configurato un template, genera automaticamente un dominio e crea un'interfaccia su misura per il modello selezionato.

La piattaforma implementa anche sofisticate tecniche anti-rilevamento, come blocchi IP e il filtri user-agent, per prolungare la durata dei siti di phishing. Inoltre, è dotata di un generatore di carte integrato che permette agli attori delle minacce di convalidare e sfruttare efficacemente i dati di pagamento rubati. Le campagne di phishing seguono uno schema ben definito: messaggi apparentemente legittimi vengono inviati ai telefoni degli utenti, facendo riferimento a pedaggi non pagati, costi di spedizione o dichiarazioni fiscali. Quando le vittime cliccano sui link, vengono reindirizzate a pagine di destinazione che imitano organizzazioni ufficiali, dove viene richiesto loro di inserire i dati della carta di credito.

Un elemento chiave del successo di queste campagne è l'utilizzo di protocolli di messaggistica avanzati come RCS e iMessage, che funzionano in modo fondamentalmente diverso dai tradizionali SMS/MMS. La crittografia end-to-end presente in entrambi i protocolli crea un punto cieco che i criminali sfruttano, rendendo inefficace le tecniche di filtraggio a livello di rete. I dati operativi indicano che le campagne basate su Lucid mostrano un tasso di successo medio di circa il 5%, con alcuni domini che ricevono più di 550 visite a settimana. In un caso osservato, un singolo sito di phishing ha registrato 30 carte di credito compromessi in un periodo di soli 7 giorni.

Proteggersi dagli attacchi di phishing non è difficile, tuttavia gli utenti meno preparati potrebbero essere facilmente ingannati dalle campagne più studiate: il consiglio più banale è quello di non cliccare mai sui link inviati via email o messaggi. Bisogna inoltre diffidare dei messaggi che esortano ad agire rapidamente per evitare sanzioni o perdite, anche se sembrano provenire da aziende legittime. La diffusione di piattaforme come Lucid segna un cambiamento significativo nell'economia sommersa, in particolare tra gli attori delle minacce di lingua cinese, che storicamente hanno operato con un profilo più basso rispetto alle controparti di lingua russa. L'approccio del gruppo XinXin, che enfatizza scalabilità ed efficienza, rappresenta una nuova fase nelle pratiche criminali online, richiedendo una maggiore vigilanza e sforzi di mitigazione proattivi da parte delle organizzazioni di sicurezza informatica.