La oferta de suplantación de identidad como servicio (PhaaS) conocida como Faro y Lúcido se ha vinculado a más de 17 500 dominios de suplantación de identidad dirigidos a 316 marcas de 74 países.
«Las implementaciones de suplantación de identidad como servicio (PhaaS) han aumentado significativamente recientemente», Netcraft dijo en un nuevo informe. «Los operadores de PhaaS cobran una cuota mensual por el software de suplantación de identidad con plantillas preinstaladas que, en algunos casos, se hacen pasar por cientos de marcas de países de todo el mundo».
Lucid era primera documentación de la empresa suiza de ciberseguridad PRODAFT a principios de abril, detallando la capacidad del kit de suplantación de identidad para enviar mensajes de suplantación de identidad a través de Apple iMessage y Rich Communication Services (RCS) para Android.
Se considera que el servicio es obra de un actor de amenazas de habla china conocido como el grupo XinXin (changqixinyun), que también ha aprovechado otros kits de suplantación de identidad, como Faro y Dárcula en sus operaciones. Darcula está desarrollado por un actor llamado LARVA-246 (también conocido como X667788X0 o xxhcvv), mientras que el desarrollo de Lighthouse se ha relacionado con LARVA-241 (también conocido como Lao Wang o Wang Duo Yu).
La plataforma Lucid PhaaS permite a los clientes montar campañas de suplantación de identidad a gran escala, dirigidas a una amplia gama de industrias, incluidas las compañías de peajes, los gobiernos, las empresas postales y las instituciones financieras.
Estos ataques también incorporan varios criterios, como requerir un agente de usuario móvil específico, un país de proxy o una ruta configurada por el estafador, para garantizar que solo los objetivos previstos puedan acceder a las URL de suplantación de identidad. Si un usuario que no es el objetivo termina visitando la URL, en su lugar recibe un escaparate falso genérico.
En total, Netcraft dijo que había detectado URL de suplantación de identidad dirigidas a 164 marcas con sede en 63 países diferentes alojadas a través de la plataforma Lucid. Las URL de suplantación de identidad de Lighthouse se han dirigido a 204 marcas de 50 países diferentes.
Lighthouse, al igual que Lucid, ofrece personalización de plantillas y monitoreo de víctimas en tiempo real, y cuenta con la capacidad de crear plantillas de suplantación de identidad para más de 200 plataformas en todo el mundo, lo que indica superposiciones significativas entre los dos kits de herramientas de PhaaS. Los precios de Lighthouse oscilan entre 88$ por una semana y 1.588$ por una suscripción anual.
«Si bien Lighthouse opera de forma independiente del grupo XinXin, su alineación con Lucid en términos de infraestructura y patrones de segmentación destaca la tendencia más amplia de colaboración e innovación dentro del ecosistema de PhaaS», señaló PRODAFT en abril.
Las campañas de suplantación de identidad que utilizan Lighthouse han utilizado direcciones URL que se hacen pasar por el servicio postal albanés Posta Shqiptare, al tiempo que muestran el mismo sitio de compras falso a personas que no son objetivos, lo que sugiere una posible relación entre Lucid y Lighthouse.
«Lucid y Lighthouse son ejemplos de lo rápido que pueden crecer y evolucionar estas plataformas y de lo difícil que puede resultar a veces interrumpirlas», afirma Harry Everett, investigador de Netcraft.
La noticia se produce cuando la empresa con sede en Londres reveló que los ataques de suplantación de identidad se están alejando de los canales de comunicación como Telegram para transmitir datos robados, lo que muestra una imagen de una plataforma que probablemente ya no se considere un refugio seguro para los ciberdelincuentes.
En su lugar, los actores de amenazas están volviendo al correo electrónico como canal para recopilar credenciales robadas, y Netcraft ha registrado un aumento del 25% en un mes. También se ha descubierto que los ciberdelincuentes utilizan servicios como EmailJS para recopilar los datos de inicio de sesión y los códigos de autenticación de dos factores (2FA) de las víctimas, lo que elimina por completo la necesidad de alojar su propia infraestructura.
«Este resurgimiento se debe en parte a la naturaleza federada del correo electrónico, lo que dificulta las eliminaciones», dijo el investigador de seguridad Penn Mackintosh dijo . «Cada dirección o retransmisión SMTP debe notificarse de forma individual, a diferencia de las plataformas centralizadas como Discord o Telegram. Y también se trata de comodidad. Crear una dirección de correo electrónico desechable es rápido, anónimo y prácticamente gratuito».
Los hallazgos también siguen la aparición de nuevos dominios parecidos que utilizan el carácter japonés de Hiragana «» para hacer pasar las URL de sitios web falsas por casi idénticas a las legítimas, en lo que se denomina un ataque homoglífico. Se han identificado no menos de 600 dominios falsos que emplean esta técnica en ataques dirigidos a usuarios de criptomonedas, y el primer uso registrado se remonta al 25 de noviembre de 2024.
Estas páginas se hacen pasar por extensiones de navegador legítimas de la Chrome Web Store y engañan a los usuarios desprevenidos para que instalen aplicaciones de monedero falsas para Phantom, Rabby, OKX, Coinbase, MetaMask, Exodus, PancakeSwap, Bitget y Trust, diseñadas para capturar información del sistema o cosechar frases iniciales, lo que da a los atacantes un control total sobre sus carteras.
«De un vistazo rápido, se pretende que parezca una barra inclinada '/'», Netcraft dijo . «Y cuando se incluye en un nombre de dominio, es fácil ver cómo puede resultar convincente. Ese pequeño intercambio es suficiente para que el dominio de un sitio de suplantación de identidad parezca real, que es el objetivo de los ciberdelincuentes que intentan robar datos personales y de datos de inicio de sesión o distribuir malware».
En los últimos meses, las estafas también han explotado las identidades de marca de firmas estadounidenses como Delta Airlines, AMC Theatres, Universal Studios y Epic Records para inscribir a personas en planes que ofrecen una forma de ganar dinero realizando una serie de tareas, como operar como agente de reservas de vuelos.
El problema aquí es que, para hacerlo, se les pide a las posibles víctimas que depositen al menos 100 dólares en criptomonedas en sus cuentas, lo que permite a los actores de la amenaza obtener ganancias ilícitas.
La estafa de tareas «ilustra cómo los actores oportunistas están utilizando como armas las plantillas de suplantación de identidad de marca impulsadas por API para ampliar el fraude por motivos financieros en varios mercados verticales», dijo Rob Duncan, investigador de Netcraft dijo .