Ecossistema usa RCS, iMessage, painéis ao vivo, automação com IA e modelos localizados para capturar credenciais, OTP e dados de cartões em campanhas globais.
| Componente | Ecossistema de phishing como serviço em língua chinesa, incluindo plataformas de administração, modelos localizados, envio por mensagens e provisionamento de carteiras digitais. |
| Vetor | Mensagens enviadas por RCS e iMessage conduzem usuários a páginas de phishing que coletam credenciais, dados de pagamento e códigos OTP em interação sincronizada com o operador. |
| Impacto | Operadores podem tentar contornar autenticação multifator baseada em código temporário e transformar dados de cartões capturados em ativos tokenizados em carteiras digitais sob controle do atacante. |
| Prioridade | Reduzir a utilidade de credenciais roubadas com FIDO2/WebAuthn, verificação baseada em risco, impressão de dispositivo no provisionamento de carteiras e telemetria focada em mensagens, domínios e eventos de cartão. |
| Artefatos | YY Lai Yu foi anunciado em agosto de 2024, afirma oferecer suporte a phishing em 119 países e, desde novembro de 2025, disponibiliza mais de 400 modelos, com foco destacado no Japão. |
| Ferramentas | Operadores citados no ecossistema usam geradores de páginas com IA, automação de navegador como Puppeteer e painéis administrativos para consulta de dados, gestão de domínios, filtros por BIN e permissões de usuários. |
O ecossistema de phishing como serviço em língua chinesa descrito na análise não se limita a páginas falsas estáticas para coleta de senhas. A atividade observada mostra um mercado mais completo, com serviços maduros, infraestrutura de entrega, registro de domínios, hospedagem, painéis administrativos, suporte a campanhas em múltiplos países e recursos voltados à monetização de dados de pagamento. O foco principal é a fraude contra usuários finais fora da China, já que as organizações imitadas são majoritariamente entidades não chinesas. Essa característica diferencia o ambiente de outros mercados de PhaaS que costumam concentrar campanhas em clientes de grandes organizações específicas.
A mudança técnica mais relevante é a passagem de simples captura de senha para interceptação em tempo real. Quando a vítima acessa uma página fraudulenta e informa credenciais ou dados de pagamento, o operador recebe os dados em um painel ao vivo e pode sincronizar a próxima etapa com a sessão legítima que ele tenta abrir em paralelo. Esse fluxo permite capturar códigos OTP dentro da janela curta de validade e tentar contornar mecanismos de MFA que dependem de códigos temporários digitados pelo usuário. A operação também se volta ao provisionamento de carteiras digitais: dados de cartão e códigos de verificação são usados para registrar o cartão em um dispositivo controlado pelo atacante, transformando o dado roubado em um instrumento tokenizado para pagamentos presenciais, transações de maior valor ou saques quando o emissor e o fluxo de autorização permitirem.
Outro ponto técnico é a adoção de canais de entrega como RCS e iMessage. Esses protocolos oferecem recursos ricos de interação, como confirmações de leitura, indicadores de digitação, grupos e envio de mídia, o que melhora a aparência das iscas para o usuário. Como também há criptografia de ponta a ponta em partes desse ecossistema de mensagens, a inspeção centralizada do conteúdo por infraestrutura de operadora ou servidor fica limitada. Na prática, o controle defensivo precisa combinar proteção no dispositivo, inteligência sobre domínios recém-criados, reputação de links, comportamento de navegação e sinais transacionais após a captura.
A cadeia começa com uma mensagem de engenharia social entregue por canais modernos de comunicação móvel. Em vez de depender apenas de SMS tradicional, os operadores exploram ambientes nos quais a mensagem parece mais próxima de uma conversa legítima, com melhor apresentação visual e menor visibilidade para filtros centrais. O conteúdo encaminha a vítima para um domínio controlado pelo serviço de phishing. O material analisado não traz domínios específicos para publicação, mas descreve o uso de domínios distintos para imitar serviços de transporte, pagamento, comércio eletrônico, jogos, bancos, cartões, corretoras e programas de recompensa.
Depois do clique, a vítima encontra uma página localizada para seu mercado. Em plataformas como YY Lai Yu, a localização vai além de tradução literal: os modelos incorporam marcas, hábitos de consumo, programas de pontos, recompensas, subsídios e temas econômicos regionais. No caso japonês, foram citadas páginas que imitam contas Apple, PayPay, Amazon, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, Rakuten Securities e Sagawa Express. A plataforma também usa telas de verificação humana antes do formulário fraudulento, exigindo interação manual para reduzir a eficácia de análise automatizada por fornecedores de segurança.
A etapa crítica ocorre quando o usuário informa credenciais, dados de cartão ou um código temporário. O painel administrativo expõe os dados ao operador no momento da inserção. Em um fluxo de conta, o operador pode tentar autenticar-se no serviço legítimo e acionar uma solicitação real de OTP; a vítima, acreditando estar em um processo legítimo, digita o código na página falsa; o operador captura o código antes de expirar. Em um fluxo de cartão, a mesma lógica pode ser aplicada ao provisionamento de carteira digital: o operador tenta adicionar o cartão a um dispositivo controlado por ele e usa a interação da vítima para passar por verificações adicionais.
A automação amplia escala e variação. A plataforma Darcula, associada no contexto a UNC5814, é descrita como exemplo de migração de modelos estáticos para geração de páginas com IA e automação de navegador via Puppeteer. A entrada de uma URL de alvo permite replicar elementos visuais, estrutura de HTML, CSS e JavaScript, criando páginas únicas em vez de kits idênticos. Isso reduz a eficácia de detecções baseadas apenas em assinatura de template, porque cada página pode diferir em marcação, layout e artefatos de renderização, mesmo mantendo o mesmo objetivo de coleta.
A superfície exposta combina usuários finais, emissores de cartões, serviços de carteira digital, provedores de identidade, plataformas de mensagens e marcas imitadas. O risco não está restrito ao roubo de senha. Em ambientes onde a autenticação ainda depende de OTP digitado, a janela de ataque é o intervalo entre a solicitação legítima do código e a expiração. Em fluxos de pagamento, a superfície se desloca para validações de dispositivo, análise de risco do emissor, confirmação de titularidade e controles de provisionamento de cartão.
YY Lai Yu é um estudo de caso de localização operacional. A oferta foi anunciada em agosto de 2024, afirma suportar campanhas em 119 países e tem foco maior no Japão. Desde novembro de 2025, disponibiliza mais de 400 modelos. O painel permite consultar dados coletados, destacar ou bloquear cartões por número BIN, bloquear países ou territórios, registrar e gerenciar domínios usando serviço de registro da Alibaba, criar operadores e atribuir permissões. Esse conjunto indica uma plataforma organizada para múltiplos afiliados, com segmentação de alvos, controle de infraestrutura e administração de acesso.
O mercado mais amplo também oferece serviços auxiliares que aumentam o alcance das campanhas. O contexto cita venda de informações pessoais, registro de domínios, hospedagem VPS, aluguel de servidores, lavagem de dinheiro, dispositivos de interceptação IMSI, envio de mensagens em massa e, em alguns casos, comércio de dados de cartões roubados. Esses elementos não provam um único incidente contra uma organização específica, mas mostram que o PhaaS opera como parte de uma cadeia criminal mais ampla, na qual coleta, entrega, infraestrutura, monetização e evasão são vendidos em módulos.
- Usuários que recebem links por
RCSouiMessagee digitam credenciais, códigosOTPou dados de cartão em páginas imitadas. - Bancos, emissores e carteiras digitais que permitem provisionamento de cartão com verificações baseadas em códigos temporários e sinais fracos de dispositivo.
- Marcas de comércio eletrônico, transporte, jogos, corretoras, bancos, cartões e programas de recompensa usadas como fachada para páginas localizadas.
- Equipes antifraude que dependem de assinatura estática de página ou reputação tardia de domínio, especialmente quando os modelos são gerados dinamicamente.
A detecção deve observar a cadeia completa, não apenas o domínio final. Em dispositivos móveis, sinais relevantes incluem mensagens recebidas por canais ricos com links externos, abertura imediata de domínios recém-criados, sequência curta entre clique, preenchimento de formulário e eventos de autenticação, além de solicitações de OTP que coincidem com tentativas de login ou provisionamento de carteira em novo dispositivo. Em ambientes corporativos, provedores de identidade devem correlacionar falhas, desafios de MFA, mudanças de dispositivo, geolocalização incomum e sessões que surgem logo após interação do usuário com link suspeito.
Para instituições financeiras e emissores, a telemetria mais útil está no provisionamento de cartões e no comportamento pós-tokenização. Deve haver atenção a tentativas de adicionar cartão em dispositivo novo logo após atualização de credenciais, mudança de número, falha de autenticação ou contato com canais digitais. Eventos de alto risco incluem múltiplas tentativas de provisionamento, divergência entre localização do usuário e do dispositivo solicitante, uso de BINs filtrados por operadores, padrões de cartão destacados em painéis criminosos e transações contactless ou saques subsequentes que não combinam com o histórico do titular.
No nível de inteligência de ameaças, a automação com IA e geração dinâmica de páginas exige coleta de características comportamentais. Em vez de depender apenas de hash de HTML, defensores devem comparar estruturas de fluxo, comportamento de formulário, uso de etapas de verificação humana, padrões de redirecionamento, idade do domínio, infraestrutura de hospedagem, certificados, frequência de rotação e semelhança visual com marcas legítimas. Para páginas que usam barreiras anti-bot, a análise precisa registrar a existência do clique manual anterior ao formulário, pois esse elemento pode explicar por que crawlers simples não alcançam o conteúdo fraudulento.
- Solicitações de
OTPou desafios deMFAiniciados segundos após clique em link recebido por mensagem móvel. - Provisionamento de carteira digital em novo dispositivo associado a credenciais recém-inseridas ou a cartão que passou por verificação incomum.
- Domínios novos ou rotacionados que imitam serviços de pagamento, transporte, comércio eletrônico, corretoras, bancos ou programas de pontos.
- Páginas com tela de verificação humana antes do formulário de coleta, especialmente quando combinadas com localização linguística e visual específica.
- Variações de HTML, CSS e JavaScript que preservam o mesmo fluxo de coleta, sugerindo geração dinâmica em vez de template fixo.
A mitigação precisa reduzir a capacidade de transformar dados digitados pela vítima em acesso válido. Para contas, a prioridade técnica é substituir OTP reutilizável ou digitado manualmente por autenticação resistente a phishing, como FIDO2/WebAuthn, sempre que o fluxo permitir. Esse controle vincula a autenticação ao domínio legítimo e dificulta o uso de credenciais capturadas em uma página falsa. A medida não impede que um usuário informe dados de cartão em um site fraudulento, mas diminui o valor de senhas e códigos temporários em tentativas de tomada de conta.
Para carteiras digitais e emissores, a defesa deve reforçar verificação baseada em risco durante o provisionamento. Impressão de dispositivo, histórico do titular, reputação do canal, coerência geográfica, idade da conta, padrão de transações e sinais de sessão precisam compor a decisão. Um cartão adicionado a um dispositivo novo logo após interação suspeita deve receber validação adicional fora do mesmo canal explorado pelo phish. Também é importante monitorar transações subsequentes ao provisionamento, pois a tokenização pode deslocar a fraude do ambiente online para pagamentos presenciais ou saques.
Equipes de segurança devem tratar campanhas por RCS e iMessage como uma área própria de risco, porque a filtragem de operadora e a inspeção de servidor não cobrem todo o conteúdo. Proteção no endpoint móvel, navegação segura, detecção de links, educação específica sobre carteiras digitais e resposta rápida a domínios imitadores continuam relevantes, mas devem ser acompanhadas por controles técnicos que não dependam de o usuário reconhecer a fraude. Para marcas imitadas, remoção de domínios, notificação a registradores, instrumentação antifraude e compartilhamento de sinais com provedores de identidade e emissores ajudam a reduzir a janela operacional.
- Migrar autenticação crítica para
FIDO2/WebAuthne reduzir dependência de códigosOTPdigitados em fluxos sensíveis. - Adicionar verificação baseada em risco e impressão de dispositivo ao provisionamento de carteiras digitais.
- Correlacionar clique em mensagem, tentativa de login, solicitação de
MFA, adição de cartão e transação subsequente em uma única linha temporal. - Detectar domínios e páginas por comportamento, aparência e fluxo de coleta, não apenas por assinatura estática de template.
- Aplicar controles antifraude específicos para cartões, incluindo avaliação de BIN, país, dispositivo novo e atividade incomum após tokenização.
0 Comentários