Le piattaforme Lucid e Lighthouse hanno lanciato oltre 17.500 domini di phishing che imitano 316 brand in 74 paesi, secondo l’analisi di Netcraft.
Autore: Redazione SecurityOpenLab
Due sofisticate operazioni di phishing, articolate in un a campagna su larga scala, hanno distribuito oltre 17.500 domini di phishing che hanno preso di mira 316 brand in 74 paesi. Alla base, le piattaforme di Phishing-as-a-Service note come Lucid e Lighthouse. A scoprirle sono state i ricercatori di sicurezza informatica di Netcraft, che completano il quadro già emerso in precedenza di un ricorso sempre più massimo, da parte dei cyber criminali, a kit di phishing “chiavi in mano” con abbonamento mensile, meglio noti come PhaaS.
Come ben noto, il maggiore problema di sicurezza legato a queste soluzioni è che permettono di lanciare attacchi sofisticati anche a chi ha scarse competenze tecniche, grazie all’uso di template predefiniti che permetto di imitare perfettamente le email di centinaia di marchi legittimi. Nel dettaglio, l’osservatorio di Netcraft ha registrato il picco di una nuova ondata a giugno 2025, quando il 13,5% di tutti i nuovi domini di phishing rilevati risultavano gestiti da provider Phishing-as-a-Service.
L’analisi approfondita delle due piattaforme PhaaS sopraccitate ne mette in evidenza le peculiarità. Lucid si distingue per la varietà dei suoi template e le tecniche di elusione: ogni campagna può essere indirizzata verso settori diversi (servizi postali, banche, enti governativi, eccetera). Le tecniche implementate per eludere i controlli includono il geofencing per limitare l’accesso alle vittime nella giusta area geografica, la verifica della stringa User-Agent (spesso solo mobile) e l’obbligo di visitare percorsi URL specifici scelti dall’attaccante. In assenza di queste condizioni, viene mostrato solo un falso negozio online. Netcraft ha rilevato campagne Lucid contro 164 marchi in 63 paesi.
Per quanto riguarda Lighthouse, si tratta della fascia alta dell’offerta criminale, con prezzi di abbonamento compresi fra 88 dollari a settimana e 1.588 dollari all’anno. Il costo è giustificato da template sempre aggiornati, possibilità di rubare credenziali 2FA e tecniche di offuscamento HTML. Le campagne, spesso individuate tramite indicatori tecnici e domini di test pubblici, hanno colpito oltre 200 brand in 50 paesi. Anche Lighthouse prevede sofisticati sistemi anti-analisi, inclusi falsi shop online quasi identici a quelli presenti su Lucid.
Le indagini degli esperti hanno fatto emergere punti di incontro fra Lucid e Lighthouse, che a quanto pare condividono template anti-monitoraggio e risultano legate alle stesse strutture criminali, come per esempio il gruppo Haozi. La collaborazione avviene tramite canali Telegram e infrastrutture comuni e segnala l’esistenza di ecosistemi interconnessi, in cui si scambiano risorse e know-how per massimizzare la resilienza delle campagne e ridurre il rischio.
Difendersi da una minaccia simile è tutt’altro che semplice e di certo non è sufficiente la formazione (anche se resta un pilastro importante per limitare il successo di queste campagne). Netcraft consiglia l’implementazione di soluzioni di detection automatizzate, capaci di identificare pattern e interrompere più rapidamente nuovi domini di phishing. Meglio ancora, le soluzioni che fanno uso di sistemi AI possono attuare un monitoraggio proattivo che blocca gli attacchi in tempo reale.