Darcula Phishing Kit
Ένα νέο Phishing-as-a-Service (PaaS) γνωστό ως «Darcula» εμφανίστηκε, χρησιμοποιώντας ένα εκπληκτικό 20.000 domain για να μιμηθεί αξιόπιστες επωνυμίες και να κλέψει διαπιστευτήρια σύνδεσης κυρίως από χρήστες Android και iPhone σε περισσότερες από 100 χώρες. Αυτό το εξελιγμένο εργαλείο έχει χρησιμοποιηθεί ενάντια σε μια ποικιλία υπηρεσιών και οργανισμών που εκτείνονται σε ταχυδρομικά, οικονομικά, κυβερνητικά και φορολογικά τμήματα, καθώς και σε εταιρείες τηλεπικοινωνιών, αεροπορικές εταιρείες και παρόχους υπηρεσιών κοινής ωφέλειας. Διαθέτει ένα εκτεταμένο οπλοστάσιο με περισσότερα από 200 πρότυπα, παρέχοντας στους απατεώνες μια ευρεία επιλογή για να προσαρμόσουν τις δόλιες καμπάνιες τους.
Αυτό που ξεχωρίζει την Darcula είναι η στρατηγική της χρήση του πρωτοκόλλου Rich Communication Services (RCS) για πλατφόρμες όπως το Google Messages και το iMessage αντί να βασίζεται σε παραδοσιακά SMS για τη διάδοση μηνυμάτων phishing. Αυτή η προσέγγιση ενισχύει την αποτελεσματικότητα των επιθέσεων αξιοποιώντας τις βελτιωμένες δυνατότητες του RCS, αυξάνοντας ενδεχομένως το ποσοστό επιτυχίας των προσπαθειών phishing.
Πίνακας περιεχομένων
Η πλατφόρμα phishing Darcula κερδίζει έλξη μεταξύ των εγκληματιών του κυβερνοχώρου
Οι ερευνητές παρατήρησαν μια αυξανόμενη τάση στον τομέα του εγκλήματος στον κυβερνοχώρο με την αυξανόμενη δημοτικότητα της πλατφόρμας phishing Darcula. Αυτή η πλατφόρμα έχει εμπλακεί σε πολυάριθμες σημαντικές επιθέσεις phishing τον περασμένο χρόνο, με στόχο χρήστες συσκευών Apple και Android στο Ηνωμένο Βασίλειο, καθώς και ενορχηστρώνοντας απάτες πακέτων που υποδύονται την Ταχυδρομική Υπηρεσία των Ηνωμένων Πολιτειών (USPS). Σε αντίθεση με τις παραδοσιακές τεχνικές phishing, η Darcula αξιοποιεί σύγχρονες τεχνολογίες όπως JavaScript, React, Docker και Harbor, διευκολύνοντας τις συνεχείς ενημερώσεις και την απρόσκοπτη ενσωμάτωση νέων λειτουργιών χωρίς να απαιτείται από τους πελάτες να εγκαταστήσουν ξανά κιτ phishing.
Το κιτ phishing που προσφέρεται από την Darcula περιλαμβάνει μια συλλογή από 200 πρότυπα που έχουν σχεδιαστεί για να υποδύονται επωνυμίες και οργανισμούς σε περισσότερες από 100 χώρες. Αυτά τα πρότυπα διαθέτουν σελίδες προορισμού υψηλής ποιότητας που έχουν προσαρμοστεί τοπικά με ακριβή γλώσσα, λογότυπα και περιεχόμενο.
Για να δημιουργήσουν μια καμπάνια ηλεκτρονικού ψαρέματος, οι απατεώνες επιλέγουν μια επωνυμία για να μιμηθούν και να εκτελέσουν ένα σενάριο εγκατάστασης, το οποίο εγκαθιστά τον αντίστοιχο ιστότοπο ηλεκτρονικού ψαρέματος μαζί με τον πίνακα εργαλείων διαχείρισης απευθείας σε ένα περιβάλλον Docker. Το σύστημα χρησιμοποιεί το μητρώο κοντέινερ ανοιχτού κώδικα Harbor για τη φιλοξενία εικόνων Docker, ενώ οι ίδιοι οι ιστότοποι phishing αναπτύσσονται χρησιμοποιώντας το React.
Σύμφωνα με τους ερευνητές, η υπηρεσία Darcula χρησιμοποιεί συνήθως τομείς ανώτατου επιπέδου όπως «.top» και «.com» για να φιλοξενήσει τομείς που έχουν καταχωρηθεί για τον σκοπό για τις επιθέσεις phishing. Περίπου το ένα τρίτο αυτών των τομέων υποστηρίζονται από το Cloudflare, ένα ευρέως χρησιμοποιούμενο δίκτυο παράδοσης περιεχομένου και εταιρεία ασφάλειας Διαδικτύου.
Ο Darcula απομακρύνεται από καθιερωμένα κανάλια και μεθόδους ηλεκτρονικού ψαρέματος
Η Darcula ξεφεύγει από τις συμβατικές τακτικές που βασίζονται σε SMS αξιοποιώντας τις Υπηρεσίες Εμπλουτισμένων Επικοινωνιών (RCS) για Android και το iMessage για iOS για την αποστολή μηνυμάτων που περιέχουν συνδέσμους προς διευθύνσεις URL ηλεκτρονικού ψαρέματος (phishing) στα θύματα. Αυτή η προσέγγιση προσφέρει πολλά πλεονεκτήματα, καθώς οι παραλήπτες είναι πιο διατεθειμένοι να αντιλαμβάνονται αυτές τις επικοινωνίες ως γνήσιες, εμπιστεύονται τα πρόσθετα μέτρα ασφαλείας που είναι εγγενή στο RCS και το iMessage, τα οποία δεν είναι διαθέσιμα στα SMS. Επιπλέον, λόγω της κρυπτογράφησης από άκρο σε άκρο που υποστηρίζεται από το RCS και το iMessage, η υποκλοπή και ο αποκλεισμός μηνυμάτων ηλεκτρονικού ψαρέματος με βάση το περιεχόμενό τους καθίσταται αδύνατη.
Οι πρόσφατες νομοθετικές προσπάθειες παγκοσμίως με στόχο την καταπολέμηση του εγκλήματος στον κυβερνοχώρο που βασίζεται σε SMS, παρεμποδίζοντας ύποπτα μηνύματα, είναι πιθανό να ωθήσουν τις πλατφόρμες Phishing-as-a-Service (PaaS) να εξερευνήσουν εναλλακτικά πρωτόκολλα όπως το RCS και το iMessage. Ωστόσο, αυτά τα πρωτόκολλα συνοδεύονται από τις δικές τους προκλήσεις που πρέπει να αντιμετωπίσουν οι εγκληματίες του κυβερνοχώρου.
Για παράδειγμα, η Apple επιβάλλει περιορισμούς σε λογαριασμούς που στέλνουν μεγάλο όγκο μηνυμάτων σε πολλούς παραλήπτες. Ταυτόχρονα, η Google εισήγαγε πρόσφατα έναν περιορισμό που εμποδίζει τις συσκευές Android να στέλνουν ή να λαμβάνουν μηνύματα RCS. Οι εγκληματίες του κυβερνοχώρου προσπαθούν να παρακάμψουν αυτούς τους περιορισμούς δημιουργώντας πολυάριθμα Apple ID και χρησιμοποιώντας φάρμες συσκευών για την αποστολή ενός μικρού αριθμού μηνυμάτων από κάθε συσκευή.
Ένα πιο τρομερό εμπόδιο βρίσκεται σε μια ασφάλεια iMessage που επιτρέπει στους παραλήπτες να κάνουν κλικ σε μια σύνδεση URL μόνο αφού απαντήσουν στο μήνυμα. Για να παρακάμψετε αυτό το μέτρο, το μήνυμα ηλεκτρονικού ψαρέματος ζητά από τον παραλήπτη να απαντήσει με ένα "Y" ή "1" πριν ανοίξει ξανά το μήνυμα για πρόσβαση στον σύνδεσμο. Αυτό το πρόσθετο βήμα μπορεί να προκαλέσει τριβή, μειώνοντας ενδεχομένως την αποτελεσματικότητα της επίθεσης phishing.
Πώς να αναγνωρίσετε το ηλεκτρονικό ψάρεμα ή τα αμφίβολα μηνύματα;
Είναι σημαντικό για τους χρήστες να υιοθετήσουν μια προσεκτική προσέγγιση για τυχόν εισερχόμενα μηνύματα που τους ωθούν να κάνουν κλικ σε διευθύνσεις URL, ιδιαίτερα εάν ο αποστολέας δεν είναι εξοικειωμένος. Οι φορείς της απειλής phishing καινοτομούν συνεχώς νέες μεθόδους παράδοσης σε διάφορες πλατφόρμες και εφαρμογές, καθιστώντας απαραίτητο για τους χρήστες να παραμείνουν σε επαγρύπνηση. Οι ερευνητές συμβουλεύουν τους χρήστες να είναι επιφυλακτικοί με σημεία όπως λανθασμένη γραμματική, ορθογραφικά λάθη, υπερβολικά δελεαστικές προσφορές ή απαιτήσεις για άμεση δράση, καθώς αυτές είναι κοινές τακτικές που χρησιμοποιούνται από τις τακτικές phishing.
