Darcula Phishing Kit
Felbukkant egy újonnan kifejlesztett adathalászat, mint szolgáltatás (PaaS), amely „Darcula” néven ismert, és elképesztő 20 000 domaint használ jó hírű márkák utánzására, és ellopja a bejelentkezési adatokat elsősorban Android és iPhone felhasználóktól több mint 100 országban. Ezt a kifinomult eszközt számos szolgáltatás és szervezet ellen használták, amelyek a postai, pénzügyi, kormányzati és adóhivatalokat, valamint távközlési cégeket, légitársaságokat és közüzemi szolgáltatókat is magukban foglalják. Több mint 200 sablonból álló kiterjedt arzenállal büszkélkedhet, és széles választékot kínál a csalók számára, hogy személyre szabhassák megtévesztő kampányaikat.
A Darculát a Rich Communication Services (RCS) protokoll stratégiai használata különbözteti meg olyan platformokon, mint a Google Messages és az iMessage, ahelyett, hogy a hagyományos SMS-ekre hagyatkozna az adathalász üzenetek terjesztésére. Ez a megközelítés az RCS továbbfejlesztett képességeinek kihasználásával növeli a támadások hatékonyságát, ami potenciálisan növeli az adathalász kísérletek sikerességét.
Tartalomjegyzék
A Darcula adathalász platform egyre nagyobb teret hódít a kiberbűnözők körében
A kutatók növekvő tendenciát figyeltek meg a kiberbűnözés területén a Darcula adathalász platform növekvő népszerűségével. Ez a platform számos kiemelkedő adathalász támadásban érintett az elmúlt évben, amelyek mind az Apple, mind az Android készülékek felhasználóit célozták meg az Egyesült Királyságban, valamint az Egyesült Államok Postaszolgálatának (USPS) kiadó csomagcsalásokat szerveztek. A hagyományos adathalász technikákkal ellentétben a Darcula olyan modern technológiákat használ, mint a JavaScript, a React, a Docker és a Harbor, megkönnyítve a folyamatos frissítéseket és az új funkciók zökkenőmentes integrációját anélkül, hogy az ügyfeleknek újra kellene telepíteniük az adathalász készleteket.
A Darcula által kínált adathalász készlet 200 sablonból álló gyűjteményt tartalmaz, amelyek több mint 100 országban találhatók márkák és szervezetek megszemélyesítésére. Ezek a sablonok kiváló minőségű céloldalakat tartalmaznak, amelyek pontos nyelvezetet, logókat és tartalmat tartalmaznak.
Az adathalász kampány létrehozásához a csalók kiválasztanak egy márkát, hogy megszemélyesítsék magukat, és végrehajtsanak egy beállítási szkriptet, amely telepíti a megfelelő adathalász webhelyet a felügyeleti irányítópultjával együtt közvetlenül egy Docker-környezetbe. A rendszer a nyílt forráskódú Harbor konténer-nyilvántartást használja a Docker-képek tárolására, míg magukat az adathalász webhelyeket a React segítségével fejlesztik.
A kutatók szerint a Darcula szolgáltatás jellemzően legfelső szintű domaineket használ, mint például a '.top' és '.com', hogy célirányosan regisztrált domaineket tároljanak adathalász támadásaikhoz. A tartományok hozzávetőleg egyharmadát a Cloudflare, egy széles körben használt tartalomszolgáltató hálózat és internetbiztonsági vállalat támogatja.
A Darcula eltávolodik a bejáratott adathalász csatornáktól és módszerektől
A Darcula elszakad a hagyományos SMS-alapú taktikától azáltal, hogy a Rich Communication Services (RCS) Androidra és az iMessage for iOS szolgáltatást használja fel, hogy adathalász URL-ekre mutató linkeket tartalmazó üzeneteket küldjön el az áldozatoknak. Ez a megközelítés számos előnnyel jár, mivel a címzettek hajlamosabbak az ilyen kommunikációt valódinak tekinteni, és bíznak az RCS-ben és az iMessage-ben rejlő kiegészítő biztonsági intézkedésekben, amelyek az SMS-ben nem érhetők el. Továbbá az RCS és az iMessage által támogatott végpontok közötti titkosítás miatt az adathalász üzenetek tartalmuk alapján történő elfogása és blokkolása megvalósíthatatlanná válik.
Az SMS-alapú kiberbűnözés elleni küzdelemre irányuló, a gyanús üzenetek akadályozásával világszerte meghozott legújabb jogalkotási erőfeszítések valószínűleg arra késztetik az adathalászat, mint szolgáltatás (PaaS) platformokat, hogy alternatív protokollokat, például RCS-t és iMessage-t keressenek. Ezek a protokollok azonban saját kihívásokkal rendelkeznek, amelyekben a kiberbűnözőknek meg kell küzdeniük.
Például az Apple korlátozásokat vezet be azokra a fiókokra, amelyek nagy mennyiségű üzenetet küldenek több címzettnek. Ugyanakkor a Google nemrégiben bevezetett egy korlátozást, amely megakadályozza, hogy a rootolt Android-eszközök RCS-üzeneteket küldjenek vagy fogadjanak. A kiberbűnözők úgy próbálják megkerülni ezeket a korlátozásokat, hogy számos Apple ID-t hoznak létre, és eszközfarmokat használnak arra, hogy minden eszközről kis számú üzenetet küldjenek el.
Még ennél is komolyabb akadályt jelent az iMessage védintézkedése, amely lehetővé teszi a címzetteknek, hogy csak az üzenet megválaszolása után kattintsanak egy URL-hivatkozásra. Ennek az intézkedésnek a megkerülése érdekében az adathalász üzenet arra kéri a címzettet, hogy válaszoljon „Y” vagy „1” karakterrel, mielőtt újra megnyitná az üzenetet a hivatkozás eléréséhez. Ez a további lépés súrlódást okozhat, ami potenciálisan csökkenti az adathalász támadás hatékonyságát.
Hogyan lehet felismerni az adathalász vagy kétes üzeneteket?
Kulcsfontosságú, hogy a felhasználók körültekintően viszonyuljanak minden olyan bejövő üzenethez, amely arra készteti őket, hogy az URL-ekre kattintsanak, különösen, ha a feladó nem ismerős. Az adathalászattal fenyegető szereplők folyamatosan új kézbesítési módszereket fejlesztenek ki a különböző platformokon és alkalmazásokon, így elengedhetetlen a felhasználók ébersége. A kutatók azt tanácsolják a felhasználóknak, hogy óvakodjanak az olyan jelektől, mint a helytelen nyelvtan, helyesírási hibák, túlságosan csábító ajánlatok vagy azonnali cselekvésre vonatkozó követelések, mivel ezek az adathalász taktikák gyakori taktikái.
