Darcula Phishing Kit
Objevil se nově vzniklý Phishing-as-a-Service (PaaS) známý jako „Darcula“, který využívá ohromujících 20 000 domén k napodobování renomovaných značek a krádeží přihlašovacích údajů primárně od uživatelů Android a iPhone ve více než 100 zemích. Tento sofistikovaný nástroj byl používán proti různorodé řadě služeb a organizací zahrnujících poštovní, finanční, vládní a daňová oddělení, stejně jako telekomunikační společnosti, letecké společnosti a poskytovatele veřejných služeb. Může se pochlubit rozsáhlým arzenálem více než 200 šablon, které podvodníkům poskytují široký výběr pro přizpůsobení jejich podvodných kampaní.
To, co odlišuje Darculu, je její strategické využití protokolu Rich Communication Services (RCS) pro platformy jako Google Messages a iMessage namísto spoléhání se na tradiční SMS k šíření phishingových zpráv. Tento přístup zvyšuje účinnost svých útoků využitím vylepšených schopností RCS, což potenciálně zvyšuje úspěšnost pokusů o phishing.
Obsah
Phishingová platforma Darcula si získává pozornost mezi kyberzločinci
Výzkumníci pozorovali rostoucí trend v oblasti kybernetické kriminality s rostoucí popularitou phishingové platformy Darcula. Tato platforma byla za poslední rok zapletena do mnoha prominentních phishingových útoků, které se zaměřovaly na uživatele zařízení Apple i Android ve Spojeném království, a také do organizování podvodných balíčků vydávajících se za poštovní službu Spojených států (USPS). Na rozdíl od tradičních technik phishingu využívá Darcula moderní technologie, jako je JavaScript, React, Docker a Harbor, což umožňuje průběžné aktualizace a bezproblémovou integraci nových funkcí, aniž by klienti museli přeinstalovat phishingové sady.
Phishingový kit nabízený Darcula obsahuje kolekci 200 šablon navržených tak, aby se vydávaly za značky a organizace ve více než 100 zemích. Tyto šablony obsahují vysoce kvalitní vstupní stránky, které jsou lokalizovány s přesným jazykem, logy a obsahem.
K nastavení phishingové kampaně si podvodníci vyberou značku, za kterou se budou vydávat, a spustí instalační skript, který nainstaluje odpovídající phishingový web spolu s jeho řídicím panelem přímo do prostředí Dockeru. Systém využívá open-source kontejnerový registr Harbor pro hostování obrázků Docker, zatímco samotné phishingové stránky jsou vyvíjeny pomocí React.
Podle výzkumníků služba Darcula obvykle využívá domény nejvyšší úrovně jako '.top' a '.com' k hostování účelově registrovaných domén pro jejich phishingové útoky. Přibližně jedna třetina těchto domén je podporována Cloudflare, široce používanou sítí pro doručování obsahu a internetovou bezpečnostní společností.
Darcula se odklání od zavedených phishingových kanálů a metod
Darcula se vzdaluje konvenční taktice založené na SMS tím, že využívá služby Rich Communication Services (RCS) pro Android a iMessage pro iOS k odesílání zpráv obsahujících odkazy na phishingové adresy URL obětem. Tento přístup nabízí několik výhod, protože příjemci jsou více nakloněni vnímat takovou komunikaci jako opravdovou a důvěřují dodatečným bezpečnostním opatřením obsaženým v RCS a iMessage, která nejsou v SMS dostupná. Kromě toho se kvůli end-to-end šifrování podporovanému RCS a iMessage stává zachycování a blokování phishingových zpráv na základě jejich obsahu neproveditelné.
Nedávné legislativní snahy po celém světě zaměřené na boj proti kyberkriminalitě založené na SMS prostřednictvím blokování podezřelých zpráv pravděpodobně přimějí platformy Phishing-as-a-Service (PaaS) k prozkoumání alternativních protokolů, jako jsou RCS a iMessage. Tyto protokoly však přicházejí se svými vlastními problémy, které musí kyberzločinci překonat.
Apple například uvaluje omezení na účty odesílající velké objemy zpráv více příjemcům. Zároveň Google nedávno zavedl omezení bránící rootnutým zařízením Android odesílat nebo přijímat zprávy RCS. Kyberzločinci se pokoušejí tato omezení obejít vytvářením mnoha Apple ID a využíváním farem zařízení k odesílání malého počtu zpráv z každého zařízení.
Hrozivější překážka spočívá v zabezpečení iMessage, které příjemcům umožňuje kliknout na odkaz URL pouze po odpovědi na zprávu. Aby se toto opatření obešlo, phishingová zpráva vyzve příjemce, aby odpověděl „Y“ nebo „1“, než zprávu znovu otevře, aby získal přístup k odkazu. Tento dodatečný krok může způsobit tření a potenciálně snížit účinnost phishingového útoku.
Jak rozpoznat phishing nebo pochybné zprávy?
Je velmi důležité, aby uživatelé zaujali opatrný přístup k jakýmkoli příchozím zprávám, které je vyzývají ke kliknutí na adresy URL, zejména pokud je odesílatel neznámý. Aktéři phishingových hrozeb neustále inovují nové způsoby doručování napříč různými platformami a aplikacemi, takže je nezbytné, aby uživatelé zůstali ostražití. Výzkumníci doporučují uživatelům, aby si dávali pozor na znaky, jako je nesprávná gramatika, pravopisné chyby, příliš lákavé nabídky nebo požadavky na okamžitou akci, protože to jsou běžné taktiky používané při taktice phishingu.
