Darcula Phishing Kit
Ilmnes äsja väljatöötatud andmepüügi-as-a-Service (PaaS), mida tuntakse kui Darcula ja mis kasutab 20 000 domeeni, et jäljendada mainekaid kaubamärke ja varastada sisselogimismandaate peamiselt Androidi ja iPhone'i kasutajatelt enam kui 100 riigis. Seda keerukat tööriista on kasutatud mitmesuguste teenuste ja organisatsioonide vastu, mis hõlmavad posti-, finants-, valitsus- ja maksuosakondi, aga ka telekommunikatsiooniettevõtteid, lennufirmasid ja kommunaalteenuste pakkujaid. Sellel on üle 200 mallist koosnev ulatuslik arsenal, mis pakub petturitele laia valikut oma petturlike kampaaniate kohandamiseks.
Darcula eristab seda protokolli Rich Communication Services (RCS) strateegiline kasutamine selliste platvormide jaoks nagu Google Messages ja iMessage, selle asemel, et toetuda andmepüügisõnumite levitamisele traditsioonilistele SMS-idele. See lähenemisviis suurendab selle rünnakute tõhusust, võimendades RCS-i täiustatud võimalusi, suurendades potentsiaalselt andmepüügikatsete õnnestumise määra.
Sisukord
Darcula andmepüügiplatvorm kogub küberkurjategijate seas tuntust
Teadlased on täheldanud küberkuritegevuse valdkonnas tõusutendentsi koos Darcula andmepüügiplatvormi kasvava populaarsusega. See platvorm on viimase aasta jooksul olnud seotud paljude silmapaistvate andmepüügirünnakutega, mis on suunatud nii Apple'i kui ka Androidi seadmete kasutajatele Ühendkuningriigis, ning korraldanud pakettpettusi, mis kehastavad Ameerika Ühendriikide postiteenistust (USPS). Erinevalt traditsioonilistest andmepüügitehnikatest kasutab Darcula kaasaegseid tehnoloogiaid, nagu JavaScript, React, Docker ja Harbour, hõlbustades pidevaid värskendusi ja uute funktsioonide sujuvat integreerimist, ilma et kliendid peaksid andmepüügikomplekte uuesti installima.
Darcula pakutav andmepüügikomplekt sisaldab 200 malli kogumit, mis on loodud enam kui 100 riigi kaubamärkide ja organisatsioonide esinemiseks. Need mallid sisaldavad kvaliteetseid sihtlehti, mis on lokaliseeritud täpse keele, logode ja sisuga.
Andmepüügikampaania seadistamiseks valivad petturid kehastamiseks brändi ja käivitavad häälestusskripti, mis installib vastava andmepüügisaidi koos selle halduse armatuurlauaga otse Dockeri keskkonda. Süsteem kasutab Dockeri piltide majutamiseks avatud lähtekoodiga konteineri registrit Harbor, samas kui andmepüügisaite arendatakse Reacti abil.
Teadlaste sõnul kasutab Darcula teenus tavaliselt tipptasemel domeene, nagu ".top" ja ".com", et majutada andmepüügirünnakute jaoks registreeritud domeene. Ligikaudu kolmandikku neist domeenidest toetab laialdaselt kasutatav sisuedastusvõrk ja Interneti-turbeettevõte Cloudflare.
Darcula eemaldub väljakujunenud andmepüügikanalitest ja -meetoditest
Darcula lahkub tavapärasest SMS-ipõhisest taktikast, võimendades Rich Communication Services (RCS) Androidile ja iMessage for iOS, et saata ohvritele sõnumeid, mis sisaldavad linke andmepüügi URL-idele. Sellel lähenemisviisil on mitmeid eeliseid, kuna adressaadid kalduvad tajuma sellist suhtlust ehtsana, usaldades RCS-ile ja iMessage'ile omaseid täiendavaid turvameetmeid, mis pole SMS-is saadaval. Lisaks muutub RCS-i ja iMessage'i toetatud täieliku krüptimise tõttu andmepüügisõnumite pealtkuulamine ja blokeerimine nende sisu alusel võimatuks.
Hiljutised seadusandlikud jõupingutused kogu maailmas, mille eesmärk on võidelda SMS-põhise küberkuritegevuse vastu, takistades kahtlaste sõnumite saatmist, sunnivad andmepüügi-as-a-Service (PaaS) platvorme tõenäoliselt uurima alternatiivseid protokolle, nagu RCS ja iMessage. Nendel protokollidel on aga oma väljakutsed, millega küberkurjategijad peavad hakkama saama.
Näiteks kehtestab Apple piirangud kontodele, mis saadavad mitmele adressaadile suuri sõnumeid. Samal ajal on Google hiljuti kasutusele võtnud piirangu, mis takistab juurdunud Android-seadmetel RCS-sõnumeid saatmast või vastu võtmast. Küberkurjategijad püüavad neist piirangutest mööda hiilida, luues arvukalt Apple ID-sid ja kasutades seadmefarme, et saata igast seadmest väike arv sõnumeid.
Suurem takistus seisneb iMessage'i kaitsemehhanismis, mis võimaldab adressaatidel klõpsata URL-i lingil alles pärast sõnumile vastamist. Sellest meetmest möödahiilimiseks palub andmepüügisõnum adressaadil vastata "Y" või "1" enne sõnumi uuesti avamist lingile juurdepääsu saamiseks. See täiendav samm võib tekitada hõõrdumist, mis võib potentsiaalselt vähendada andmepüügirünnaku tõhusust.
Kuidas ära tunda andmepüügi või kahtlaseid sõnumeid?
Kasutajate jaoks on ülioluline suhtuda ettevaatlikult mis tahes sissetulevate kirjade suhtes, mis sunnivad neid klõpsama URL-idel, eriti kui saatja pole tuttav. Andmepüügiohus tegutsejad uuendavad pidevalt uusi tarnemeetodeid erinevatel platvormidel ja rakendustes, mistõttu on oluline, et kasutajad oleksid valvsad. Teadlased soovitavad kasutajatel olla ettevaatlik selliste märkide suhtes nagu vale grammatika, õigekirjavead, liiga ahvatlevad pakkumised või nõudmised viivitamatuks tegutsemiseks, kuna need on andmepüügitaktikate puhul levinud taktikad.
