Google ha presentado una demanda civil en el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York (SDNY) contra los piratas informáticos con sede en China detrás de una plataforma masiva de phishing como servicio (PhaaS) llamada Lighthouse que ha atrapado a más de 1 millón de usuarios en 120 países.
El kit PhaaS se utiliza para llevar a cabo ataques de phishing por SMS a gran escala que explotan marcas confiables como E-ZPass y USPS para robar la información financiera de las personas engañándolas para que hagan clic en un enlace con peajes o entregas de paquetes falsos. Aunque la estafa en sí es bastante simple, es la escala industrial de la empresa la que le ha permitido ganar ilegalmente más de mil millones de dólares en los últimos tres años.
“Explotan la reputación de Google y otras marcas al mostrar ilegalmente nuestras marcas y servicios en sitios web engañosos”, dijo Halimah DeLaine Prado, asesora general de Google. “Encontramos al menos 107 plantillas de sitios web con la marca Google en pantallas de inicio de sesión que están diseñadas específicamente para engañar a las personas haciéndoles creer que los sitios son legítimos”.
La compañía dijo que está tomando acciones legales para desmantelar la infraestructura subyacente bajo la Ley de Organizaciones Corruptas e Influenciadas por Racketeers (RICO), la Ley Lanham y la Ley de Abuso y Fraude Informático.
Lighthouse, junto con otras plataformas PhaaS como Darcula y Lucid, es parte de un ecosistema de cibercrimen en red que opera desde China y es conocido por enviar miles de mensajes smishing a través de las funciones RCS de Apple iMessage y Google Messages a usuarios en los EE. UU. y más allá con la esperanza de robar datos confidenciales. Estos kits fueron utilizados por un sindicato de smishing llamado Smishing Triad.
En un informe publicado en septiembre, Netcraft reveló que Lighthouse y Lucid estaban asociados con más de 17.500 dominios de phishing dirigidos a 316 marcas de 74 países. Las plantillas de phishing asociadas con Lighthouse varían desde $88 por una semana hasta $1588 por una suscripción anual.
“Si bien Lighthouse opera independientemente del Grupo XinXin, su alineación con Lucid en términos de infraestructura y patrones de focalización subraya la tendencia más amplia de colaboración e innovación dentro del ecosistema PhaaS”, dijo la firma suiza de ciberseguridad PRODAFT en un informe publicado en abril.
Se estima que entre julio de 2023 y octubre de 2024, los sindicatos de smishing chinos pueden haber comprometido entre 12,7 y 115 millones de tarjetas de pago solo en Estados Unidos. En los últimos años, los ciberdelincuentes de China también han desarrollado nuevas herramientas como Ghost Tap para agregar datos de tarjetas robadas a billeteras digitales en iPhones y teléfonos Android.
El mes pasado, la Unidad 42 de Palo Alto Networks dijo que desde el 1 de enero de 2024, los actores de amenazas detrás de Smishing Triad han aprovechado más de 194.000 dominios maliciosos, imitando una amplia gama de servicios que incluyen bancos, intercambios de criptomonedas, servicios postales y de entrega, fuerzas policiales, empresas gubernamentales y cabinas de peaje electrónico, entre otros.
“Creemos que Smishing Triad está utilizando los tres servicios PhaaS (Lighthouse, Darcula y Lucid) por diversas razones técnicas y no técnicas”, dijo a The Hacker News Kasey Best, director de inteligencia de amenazas de Silent Push, y agregó que la compañía ha observado a los usuarios de Lighthouse alternando entre Darcula y Lucid a nivel de infraestructura.
“Lo que es digno de mención es que aquí hay todo un ecosistema en juego, donde los actores chinos de smishing discuten abiertamente sus actividades fraudulentas en los canales de Telegram y comparten conocimientos en sus diferentes áreas de actividad. La terminología china común utilizada por aquellos activos en los canales solo fortalece aún más los vínculos entre estos proveedores de PhaaS y la tríada de smishing”.
Actualizar
Google dijo que su servicio de phishing Lighthouse fue interrumpido después de que la compañía presentó una demanda contra el grupo de cibercrimen que lo administra. Una captura de pantalla compartida por Google con The Hacker News muestra un mensaje de Telegram en idioma chino supuestamente publicado por los actores de la amenaza que indica que su “servidor en la nube fue bloqueado debido a quejas maliciosas”. Varios canales de Telegram previamente identificados como administrados por Lighthouse han sido eliminados o eliminados.
“Este cierre de las operaciones de Lighthouse es una victoria para todos”, dijo DeLaine Prado. “Continuaremos responsabilizando a los estafadores maliciosos y protegiendo a los consumidores”.
Lighthouse es uno de los muchos kits de phishing que han surgido del ecosistema de cibercrimen chino. Smishing Triad utilizó estos servicios para orquestar la ingeniería social, que implica hacerse pasar por una variedad de entidades legítimas con la esperanza de redirigir a los usuarios a enlaces maliciosos diseñados para recopilar información confidencial.
Si bien todavía es demasiado pronto para decir si los últimos esfuerzos podrían obligar a los atacantes a cambiar sus métodos, un portavoz de Google dijo a la publicación: “Siempre esperamos que los malos actores cambien sus tácticas. Es por eso que continuamos vigilantes, adaptamos nuestras tácticas y tomamos medidas, tal como lo hemos hecho”.
Silent Push's Best también confirmó que todos los canales de Telegram asociados con el servicio PhaaS han sido eliminados o eliminados debido a violaciones de los Términos de servicio (ToS) de Telegram. Algunos de los canales se enumeran a continuación:
- t(.)yo/laowangLiveGroup
- t(.)yo/LighthouseShopBot
- t(.)yo/WdyLiveBot
- t(.)yo/laowang_notice
- t(.)yo/laowang_merchants
- t(.)yo/s8888s
- t(.)yo/wangduoyu0
“Estamos rastreando muchos sitios web que todavía están activos y utilizan el código Lighthouse Kit, así como kits de phishing utilizados por otros actores de amenazas Smishing Triad, pero puede haber cambios en el backend con Lighthouse u otras interrupciones en este ecosistema criminal que recién están comenzando a hacerse visibles”, agregó Best. “En cualquier caso, esta es una señal positiva para la demanda de Google y esperamos una mayor presión contra los actores de amenazas con sede principalmente en China”.
About The Author
