Darcula Phishing Kit
Äskettäin syntynyt Phishing-as-a-Service (PaaS), joka tunnetaan nimellä "Darcula", on ilmaantunut ja joka hyödyntää hämmästyttäviä 20 000 verkkotunnusta jäljitelläkseen hyvämaineisia brändejä ja varastaakseen kirjautumistietoja ensisijaisesti Android- ja iPhone-käyttäjiltä yli 100 maassa. Tätä hienostunutta työkalua on käytetty monenlaisia palveluita ja organisaatioita vastaan, jotka kattavat posti-, rahoitus-, valtion- ja veroosastot sekä televiestintäyritykset, lentoyhtiöt ja palvelujen tarjoajat. Se tarjoaa laajan yli 200 mallin arsenaalin, joka tarjoaa huijareille laajan valikoiman petollisten kampanjoiden räätälöimiseksi.
Darcula erottaa muista sen, että se käyttää strategisesti Rich Communication Services (RCS) -protokollaa Google Messages- ja iMessage-alustoille sen sijaan, että se luottaisi perinteiseen tekstiviestiin tietojenkalasteluviestien levittämiseen. Tämä lähestymistapa parantaa hyökkäysten tehokkuutta hyödyntämällä RCS:n parannettuja ominaisuuksia, mikä mahdollisesti lisää tietojenkalasteluyritysten onnistumisastetta.
Sisällysluettelo
Darcula Phishing Platform on saamassa vetovoimaa kyberrikollisten keskuudessa
Tutkijat ovat havainneet nousevan trendin kyberrikollisuuden alalla Darcula-phishing-alustan kasvavan suosion myötä. Tämä alusta on ollut osallisena lukuisissa merkittävissä tietojenkalasteluhyökkäyksissä viime vuoden aikana, jotka on kohdistettu sekä Apple- että Android-laitteiden käyttäjiin Isossa-Britanniassa, sekä järjestänyt pakettihuijauksia, jotka esiintyvät Yhdysvaltain postipalveluina (USPS). Toisin kuin perinteiset tietojenkalastelutekniikat, Darcula hyödyntää moderneja tekniikoita, kuten JavaScriptiä, Reactia, Dockeria ja Harboria, mikä helpottaa jatkuvaa päivitystä ja uusien ominaisuuksien saumatonta integrointia ilman, että asiakkaiden on asennettava tietojenkalastelupaketteja uudelleen.
Darculan tarjoama tietojenkalastelupaketti sisältää 200 mallin kokoelman, jotka on suunniteltu jäljittelemään brändejä ja organisaatioita yli 100 maassa. Näissä malleissa on korkealaatuisia aloitussivuja, jotka on lokalisoitu tarkalla kielellä, logoilla ja sisällöllä.
Tietojenkalastelukampanjan perustamiseksi huijarit valitsevat brändin esiintyäkseen ja suorittavat asennuskomentosarjan, joka asentaa vastaavan tietojenkalastelusivuston ja sen hallintapaneelin suoraan Docker-ympäristöön. Järjestelmä käyttää avoimen lähdekoodin konttirekisteriä Harbor Docker-kuvien isännöintiin, kun taas tietojenkalastelusivustot itse kehitetään Reactin avulla.
Tutkijoiden mukaan Darcula-palvelu käyttää tyypillisesti huipputason verkkotunnuksia, kuten '.top' ja '.com', isännöimään tarkoitukseen rekisteröityjä verkkotunnuksia tietojenkalasteluhyökkäyksiä varten. Noin kolmasosaa näistä toimialueista tukee Cloudflare, laajalti käytetty sisällönjakeluverkko ja Internet-tietoturvayritys.
Darcula siirtyy pois vakiintuneista tietojenkalastelukanavista ja -menetelmistä
Darcula eroaa perinteisistä tekstiviestipohjaisista taktiikoista hyödyntämällä Rich Communication Services (RCS) Androidille ja iMessage for iOS lähettääkseen uhreille viestejä, jotka sisältävät linkkejä tietojenkalastelu-URL-osoitteisiin. Tämä lähestymistapa tarjoaa useita etuja, koska vastaanottajat ovat taipuvaisempia näkemään tällaisen viestinnän aitoina ja luottavat RCS:n ja iMessagen luontaisiin lisäturvatoimiin, jotka eivät ole käytettävissä tekstiviesteissä. Lisäksi RCS:n ja iMessagen tukeman päästä päähän -salauksen ansiosta tietojenkalasteluviestien sieppaaminen ja estäminen niiden sisällön perusteella tulee mahdottomaksi.
Viimeaikaiset lainsäädäntötoimet maailmanlaajuisesti SMS-pohjaisen verkkorikollisuuden torjumiseksi estämällä epäilyttävät viestit ovat todennäköisesti saaneet Phishing-as-a-Service (PaaS) -alustoja tutkimaan vaihtoehtoisia protokollia, kuten RCS ja iMessage. Näillä protokollilla on kuitenkin omat haasteensa, jotka kyberrikollisten on selvitettävä.
Esimerkiksi Apple asettaa rajoituksia tileille, jotka lähettävät suuria määriä viestejä useille vastaanottajille. Samaan aikaan Google on äskettäin ottanut käyttöön rajoituksen, joka estää juurtuneita Android-laitteita lähettämästä tai vastaanottamasta RCS-viestejä. Kyberrikolliset yrittävät kiertää näitä rajoituksia luomalla lukuisia Apple ID:itä ja käyttämällä laitefarmia lähettääkseen pienen määrän viestejä kustakin laitteesta.
Valtavampi este on iMessage-suojaus, jonka avulla vastaanottajat voivat napsauttaa URL-linkkiä vasta vastattuaan viestiin. Tämän toimenpiteen kiertämiseksi tietojenkalasteluviesti kehottaa vastaanottajaa vastaamaan "Y" tai "1" ennen viestin avaamista uudelleen linkin avaamiseksi. Tämä lisävaihe voi aiheuttaa kitkaa, mikä mahdollisesti heikentää tietojenkalasteluhyökkäyksen tehokkuutta.
Kuinka tunnistaa tietojenkalastelu tai epäilyttävät viestit?
On erittäin tärkeää, että käyttäjät suhtautuvat varovasti kaikkiin saapuviin viesteihin, jotka kehottavat heitä napsauttamaan URL-osoitteita, varsinkin jos lähettäjä ei ole tuttu. Tietojenkalasteluuhkatekijät innovoivat jatkuvasti uusia toimitustapoja eri alustoilla ja sovelluksissa, joten käyttäjien on tärkeää pysyä valppaina. Tutkijat neuvovat käyttäjiä varomaan merkkejä, kuten virheellistä kielioppia, kirjoitusvirheitä, liian houkuttelevia tarjouksia tai vaatimuksia välittömiin toimiin, koska nämä ovat yleisiä phishing-taktiikoita.
