Darcula Phishing Kit
Pojavila se novonastala usluga Phishing-as-a-Service (PaaS) poznata kao 'Darcula', koja koristi nevjerojatnih 20.000 domena za oponašanje renomiranih robnih marki i krađu vjerodajnica za prijavu primarno od korisnika Androida i iPhonea u više od 100 zemalja. Ovaj sofisticirani alat korišten je protiv raznolikog niza usluga i organizacija koje obuhvaćaju poštanske, financijske, vladine i porezne odjele, kao i telekomunikacijske tvrtke, zrakoplovne tvrtke i pružatelje komunalnih usluga. Može se pohvaliti opsežnim arsenalom od preko 200 predložaka, pružajući prevarantima širok izbor za prilagođavanje njihovih lažnih kampanja.
Ono što izdvaja Darculu je njezina strateška upotreba protokola Rich Communication Services (RCS) za platforme kao što su Google Messages i iMessage umjesto oslanjanja na tradicionalni SMS za širenje phishing poruka. Ovaj pristup povećava učinkovitost svojih napada iskorištavanjem poboljšanih mogućnosti RCS-a, potencijalno povećavajući stopu uspjeha pokušaja krađe identiteta.
Sadržaj
Darcula phishing platforma postaje sve popularnija među kibernetičkim kriminalcima
Istraživači su uočili rastući trend u domeni kibernetičkog kriminala s rastućom popularnošću Darcula phishing platforme. Ova je platforma bila upletena u brojne istaknute phishing napade tijekom prošle godine, ciljajući korisnike Apple i Android uređaja u Ujedinjenom Kraljevstvu, kao i orkestriranje prijevara paketa lažno predstavljajući poštansku službu Sjedinjenih Država (USPS). Za razliku od tradicionalnih tehnika krađe identiteta, Darcula koristi moderne tehnologije kao što su JavaScript, React, Docker i Harbor, omogućavajući kontinuirana ažuriranja i besprijekornu integraciju novih značajki bez potrebe da klijenti ponovno instaliraju komplete za krađu identiteta.
Komplet za krađu identiteta koji nudi Darcula sastoji se od kolekcije od 200 predložaka dizajniranih za oponašanje robnih marki i organizacija u više od 100 zemalja. Ovi predlošci sadrže visokokvalitetne odredišne stranice koje su lokalizirane točnim jezikom, logotipima i sadržajem.
Kako bi postavili phishing kampanju, prevaranti odabiru marku koju će oponašati i izvršavaju skriptu za postavljanje, koja instalira odgovarajuću phishing stranicu zajedno s nadzornom pločom za upravljanje izravno u Docker okruženje. Sustav koristi registar kontejnera otvorenog koda Harbor za hosting Docker slika, dok su same phishing stranice razvijene pomoću Reacta.
Prema istraživačima, usluga Darcula obično koristi domene najviše razine kao što su '.top' i '.com' za hosting namjenski registriranih domena za svoje phishing napade. Otprilike jednu trećinu ovih domena podržava Cloudflare, naširoko korištena mreža za dostavu sadržaja i tvrtka za internetsku sigurnost.
Darcula se udaljava od ustaljenih kanala i metoda krađe identiteta
Darcula se odvaja od konvencionalne taktike temeljene na SMS-u iskorištavanjem Rich Communication Services (RCS) za Android i iMessage za iOS za slanje poruka žrtvama koje sadrže poveznice na phishing URL-ove. Ovaj pristup nudi nekoliko prednosti, budući da su primatelji skloniji takvu komunikaciju smatrati autentičnom, polažući povjerenje u dodatne sigurnosne mjere svojstvene RCS-u i iMessage-u, koje nisu dostupne u SMS-u. Nadalje, zbog end-to-end enkripcije koju podržavaju RCS i iMessage, presretanje i blokiranje phishing poruka na temelju njihovog sadržaja postaje neizvedivo.
Nedavni zakonodavni napori diljem svijeta usmjereni na borbu protiv kibernetičkog kriminala temeljenog na SMS-u ometanjem sumnjivih poruka vjerojatno će potaknuti platforme Phishing-as-a-Service (PaaS) da istraže alternativne protokole poput RCS-a i iMessage-a. Međutim, ovi protokoli dolaze s vlastitim nizom izazova s kojima se kibernetički kriminalci moraju snaći.
Na primjer, Apple nameće ograničenja za račune koji šalju velike količine poruka većem broju primatelja. U isto vrijeme, Google je nedavno uveo ograničenje koje sprječava rootane Android uređaje da šalju ili primaju RCS poruke. Kibernetički kriminalci pokušavaju zaobići ta ograničenja stvaranjem brojnih Apple ID-ova i korištenjem farmi uređaja za slanje malog broja poruka sa svakog uređaja.
Još veća prepreka leži u iMessage zaštiti koja dopušta primateljima da kliknu na URL vezu tek nakon što odgovore na poruku. Kako bi se zaobišla ova mjera, phishing poruka traži od primatelja da odgovori s 'Y' ili '1' prije ponovnog otvaranja poruke za pristup poveznici. Ovaj dodatni korak može dovesti do trvenja, potencijalno smanjujući učinkovitost phishing napada.
Kako prepoznati phishing ili sumnjive poruke?
Za korisnike je ključno da usvoje oprezan pristup svim dolaznim porukama koje ih potiču da kliknu na URL-ove, osobito ako je pošiljatelj nepoznat. Akteri prijetnji krađe identiteta neprestano inoviraju nove metode isporuke na različitim platformama i aplikacijama, zbog čega je neophodno da korisnici ostanu oprezni. Istraživači savjetuju korisnicima da budu oprezni sa znakovima kao što su netočna gramatika, pravopisne pogreške, pretjerano primamljive ponude ili zahtjevi za trenutnim djelovanjem, budući da su to uobičajene taktike koje koriste taktike krađe identiteta.
