Các nhà nghiên cứu an ninh mạng tại Netcraft đã khám phá hai chiến dịch Phishing-as-a-Service (PhaaS) tinh vi, liên quan đến các nền tảng Lucid và Lighthouse. Phát hiện này hé lộ một hoạt động quy mô lớn đã triển khai hơn 17.500 tên miền lừa đảo, nhắm mục tiêu vào 316 thương hiệu trên 74 quốc gia. Điều này nhấn mạnh nguy cơ ngày càng tăng của hạ tầng tội phạm mạng được thương mại hóa, cho phép những kẻ tấn công ít kỹ năng thực hiện các chiến dịch lừa đảo tinh vi ở quy mô chưa từng có.
Bối cảnh gia tăng các nền tảng Phishing-as-a-Service
Sự xuất hiện của các nền tảng PhaaS đánh dấu một sự thay đổi đáng kể trong bức tranh tội phạm mạng. Chúng giúp cho các cuộc tấn công mạng tinh vi trở nên dễ tiếp cận hơn đối với những kẻ tội phạm không có nhiều chuyên môn kỹ thuật.
Các nền tảng này hoạt động theo mô hình đăng ký, thu phí hàng tháng cho các gói phần mềm lừa đảo toàn diện. Các gói này bao gồm các mẫu được cài đặt sẵn, mạo danh hàng trăm thương hiệu hợp pháp trên toàn thế giới.
Từ khi Netcraft bắt đầu theo dõi nền tảng Darcula PhaaS phổ biến vào năm 2023, công ty an ninh mạng này đã ghi nhận sự gia tăng đáng kể của các dịch vụ tương tự. Chúng sử dụng công nghệ hiện đại và cung cấp giao diện thân thiện với người dùng.
Quy mô của mối đe dọa mạng này trở nên đặc biệt rõ ràng vào tháng 6 năm 2025. Thời điểm đó, các phát hiện PhaaS đạt mức cao nhất từ trước đến nay, với 13.5% tổng số tên máy chủ lừa đảo được Netcraft phát hiện là do các nền tảng PhaaS đang được theo dõi vận hành.
Lucid Phishing-as-a-Service: Tinh vi và Khả năng nhắm mục tiêu toàn cầu
Nền tảng Lucid Phishing-as-a-Service, với các dấu vân tay trùng khớp đã được Prodraft xác định trước đó, thể hiện sự tinh vi đáng kể. Điều này bao gồm cả khả năng nhắm mục tiêu và các kỹ thuật né tránh.
Nền tảng này cho phép tội phạm mạng khởi động các chiến dịch lừa đảo chống lại nhiều ngành công nghiệp đa dạng. Các mục tiêu bao gồm các công ty thu phí, cơ quan chính phủ, dịch vụ bưu chính và các tổ chức tài chính.
Mỗi mẫu lừa đảo của Lucid nhận được một mã định danh duy nhất. Ví dụ, chủ đề “kuda295” được sử dụng để mạo danh công ty tài chính Kuda.
Kỹ thuật chống giám sát nâng cao của Lucid
Khả năng chống giám sát của nền tảng Lucid đặc biệt tiên tiến. Nó yêu cầu các điều kiện cụ thể để hiển thị nội dung độc hại. Cụ thể, khách truy cập phải truy cập các đường dẫn được xác định trước, có nguồn gốc từ các quốc gia proxy cụ thể và sử dụng user agent di động.
Nếu các tiêu chí này không được đáp ứng, nạn nhân sẽ thấy các cửa hàng giả mạo chung chung bán giày hoặc quần áo phụ nữ, thay vì trang lừa đảo thực sự.
Phân tích của Netcraft tiết lộ rằng Lucid đã được sử dụng để tạo các URL lừa đảo nhắm mục tiêu vào 164 thương hiệu từ 63 quốc gia khác nhau. Điều này chứng minh tầm vươn toàn cầu và khả năng thích ứng của nền tảng với các thị trường và ngôn ngữ khu vực khác nhau. Chi tiết nghiên cứu có tại Netcraft.com.
Lighthouse Phishing-as-a-Service: Phân khúc cao cấp của hạ tầng tội phạm mạng
Bộ công cụ Lighthouse Phishing-as-a-Service, được phát triển bởi một cá nhân được biết đến với cái tên WangDuoYu, đại diện cho phân khúc cao cấp của hạ tầng tội phạm mạng.
Với giá thuê bao dao động từ 88 USD mỗi tuần đến 1.588 USD hàng năm, Lighthouse cung cấp các bản cập nhật thường xuyên và khả năng chuyên biệt. Chúng bao gồm việc đánh cắp thông tin xác thực xác thực hai yếu tố (2FA) thông qua các mẫu lừa đảo có thể tùy chỉnh.
Các nhà nghiên cứu đã liên kết một chiến dịch lừa đảo bị che giấu mạnh mẽ với Lighthouse thông qua một số chỉ số chính. Các chỉ số này bao gồm các mẫu giống hệt nhau được hiển thị trong tài liệu bán hàng của nền tảng và việc triển khai trên tên miền demo của WangDuoYu.
Chiến dịch này đã nhắm mục tiêu vào 204 thương hiệu trên 50 quốc gia. Nó sử dụng các kỹ thuật chống giám sát tương tự như Lucid, bao gồm cả mẫu cửa hàng giả mạo đặc trưng “LOAFING OUT LOUD”.
Mối liên hệ phức tạp trong hệ sinh thái tội phạm mạng
Cuộc điều tra đã tiết lộ các mối liên hệ thú vị giữa các hoạt động PhaaS khác nhau. Cả Lucid và Lighthouse đều sử dụng các trang chống giám sát gần như giống hệt nhau. Điều này cho thấy hoặc là nguồn lực phát triển chung, hoặc là sự hợp tác có chủ ý giữa các nhóm tội phạm.
Ngoài ra, các nhà nghiên cứu đã phát hiện các liên kết đến nhóm Haozi đã được ghi nhận trước đây. Điều này thông qua việc quản trị Telegram chung và hạ tầng chồng chéo.
Những mối liên hệ này làm nổi bật tính chất liên kết của các hệ sinh thái tội phạm mạng hiện đại. Tại đây, các tổ chức tội phạm khác nhau chia sẻ tài nguyên, kỹ thuật và hạ tầng. Mục đích là để tối đa hóa hiệu quả hoạt động của mình, đồng thời giảm thiểu rủi ro cá nhân.
Các biện pháp ứng phó và tầm quan trọng của Phát hiện chủ động
Để đối phó với những mối đe dọa mạng này, Netcraft đã triển khai tự động hóa mục tiêu, được thiết kế đặc biệt để tăng cường phát hiện các URL Lucid PhaaS.
Phương pháp tiếp cận chủ động này bao gồm việc tương quan các chiến dịch, xác định các mẫu hạ tầng chung và triển khai các cơ chế gián đoạn nhanh chóng. Điều này nhằm giảm thiểu tác động của các hoạt động tinh vi này.
Khả năng của cộng đồng an ninh mạng trong việc theo dõi và phá vỡ các hoạt động PhaaS vẫn là rất quan trọng. Đặc biệt khi các nền tảng này tiếp tục phát triển về độ tinh vi và quy mô.
Các chiến dịch Lucid và Lighthouse chứng minh tốc độ phát triển và khả năng thích ứng nhanh chóng của các dịch vụ này. Điều này khiến các biện pháp bảo mật phản ứng truyền thống không đủ hiệu quả để chống lại các mối đe dọa mạng phishing hiện đại.
Khi các nền tảng Phishing-as-a-Service ngày càng trở nên tinh vi và dễ tiếp cận đối với tội phạm ít kỹ năng, ngành công nghiệp an ninh mạng phải duy trì việc giám sát cảnh giác và phát triển các biện pháp đối phó sáng tạo.
Quy mô hoạt động được tiết lộ trong cuộc điều tra này – 17.500 tên miền nhắm mục tiêu vào hơn 300 thương hiệu trên 74 quốc gia – nhấn mạnh nhu cầu cấp bách về thu thập thông tin tình báo chủ động và khả năng phản ứng nhanh chóng. Điều này nhằm bảo vệ người dùng và các tổ chức trên toàn thế giới khỏi những mối đe dọa mạng đang phát triển này.
