Darcula Phishing Kit
Ha aparegut un nou servei de pesca com a servei (PaaS) conegut com a "Darcula", que utilitza uns 20.000 dominis sorprenents per imitar marques de renom i robar les credencials d'inici de sessió principalment d'usuaris d'Android i iPhone a més de 100 països. Aquesta eina sofisticada s'ha utilitzat contra una àmplia gamma de serveis i organitzacions que abasten departaments postals, financers, governamentals i fiscals, així com empreses de telecomunicacions, companyies aèries i proveïdors de serveis públics. Compta amb un ampli arsenal de més de 200 plantilles, que ofereix als estafadors una àmplia selecció per adaptar les seves campanyes enganyoses.
El que diferencia Darcula és la seva utilització estratègica del protocol Rich Communication Services (RCS) per a plataformes com Google Messages i iMessage en lloc de confiar en els SMS tradicionals per difondre missatges de pesca. Aquest enfocament millora l'eficàcia dels seus atacs aprofitant les capacitats millorades de RCS, augmentant potencialment la taxa d'èxit dels intents de pesca.
Taula de continguts
La plataforma de pesca Darcula està guanyant força entre els ciberdelinqüents
Els investigadors han observat una tendència creixent en el domini del cibercrim amb la creixent popularitat de la plataforma de pesca Darcula. Aquesta plataforma ha estat implicada en nombrosos atacs de pesca destacats durant l'últim any, dirigits als usuaris de dispositius Apple i Android al Regne Unit, així com a l'orquestració d'estafes de paquets que suplanten el Servei Postal dels Estats Units (USPS). A diferència de les tècniques tradicionals de pesca, Darcula aprofita tecnologies modernes com JavaScript, React, Docker i Harbour, facilitant les actualitzacions contínues i la integració perfecta de noves funcions sense requerir que els clients tornin a instal·lar els kits de pesca.
El kit de pesca que ofereix Darcula inclou una col·lecció de 200 plantilles dissenyades per suplantar la identitat de marques i organitzacions de més de 100 països. Aquestes plantilles inclouen pàgines de destinació d'alta qualitat localitzades amb un llenguatge, logotips i contingut precisos.
Per configurar una campanya de pesca, els estafadors trien una marca per suplantar la identitat i executar un script de configuració, que instal·la el lloc de pesca corresponent juntament amb el seu tauler de gestió directament en un entorn Docker. El sistema utilitza el registre de contenidors de codi obert Harbour per allotjar imatges de Docker, mentre que els propis llocs de pesca es desenvolupen amb React.
Segons els investigadors, el servei Darcula normalment utilitza dominis de primer nivell com ara ".top" i ".com" per allotjar dominis registrats per als seus atacs de pesca. Aproximadament un terç d'aquests dominis són compatibles amb Cloudflare, una xarxa de lliurament de contingut àmpliament utilitzada i una empresa de seguretat a Internet.
Darcula s’allunya dels canals i mètodes de pesca establerts
Darcula trenca amb les tàctiques convencionals basades en SMS aprofitant Rich Communication Services (RCS) per a Android i iMessage per a iOS per enviar missatges que contenen enllaços a URL de pesca a les víctimes. Aquest enfocament ofereix diversos avantatges, ja que els destinataris estan més inclinats a percebre aquestes comunicacions com a genuïnes, i confien en les mesures de seguretat addicionals inherents a RCS i iMessage, que no estan disponibles en SMS. A més, a causa del xifratge d'extrem a extrem admès per RCS i iMessage, interceptar i bloquejar missatges de pesca basats en el seu contingut esdevé inviable.
Els esforços legislatius recents a tot el món dirigits a combatre la ciberdelinqüència basada en SMS obstruint missatges sospitosos probablement estan provocant que les plataformes de Phishing-as-a-Service (PaaS) explorin protocols alternatius com RCS i iMessage. Tanmateix, aquests protocols inclouen els seus propis reptes que els ciberdelinqüents han de superar.
Per exemple, Apple imposa restriccions als comptes que envien grans volums de missatges a diversos destinataris. Al mateix temps, Google ha introduït recentment una limitació que impedeix que els dispositius Android arrelats enviïn o rebin missatges RCS. Els ciberdelinqüents intenten eludir aquestes limitacions creant nombrosos identificadors d'Apple i utilitzant granges de dispositius per enviar un petit nombre de missatges des de cada dispositiu.
Un obstacle més formidable rau en una salvaguarda d'iMessage que permet als destinataris fer clic en un enllaç URL només després de respondre al missatge. Per evitar aquesta mesura, el missatge de pesca demana al destinatari que respongui amb una "Y" o un "1" abans de tornar a obrir el missatge per accedir a l'enllaç. Aquest pas addicional pot introduir fricció, que pot disminuir l'eficàcia de l'atac de pesca.
Com reconèixer missatges de pesca o missatges dubtosos?
És fonamental que els usuaris adoptin un enfocament prudent cap als missatges entrants que els demani a fer clic als URL, sobretot si el remitent no el coneix. Els actors de les amenaces de phishing innoven contínuament nous mètodes de lliurament a diverses plataformes i aplicacions, cosa que fa que els usuaris es mantinguin vigilants. Els investigadors aconsellen als usuaris que desconfiin de signes com ara una gramàtica incorrecta, faltes d'ortografia, ofertes massa atractives o demandes d'acció immediata, ja que aquestes són tàctiques habituals que utilitzen les tàctiques de pesca.
