Darcula Phishing Kit
È emerso un nuovo Phishing-as-a-Service (PaaS) noto come "Darcula", che utilizza l'incredibile cifra di 20.000 domini per imitare marchi rinomati e rubare credenziali di accesso principalmente da utenti Android e iPhone in più di 100 paesi. Questo sofisticato strumento è stato utilizzato contro una vasta gamma di servizi e organizzazioni che vanno dai dipartimenti postali, finanziari, governativi e fiscali, nonché alle società di telecomunicazioni, alle compagnie aeree e ai fornitori di servizi pubblici. Vanta un vasto arsenale di oltre 200 modelli, offrendo ai truffatori un'ampia scelta per personalizzare le loro campagne ingannevoli.
Ciò che distingue Darcula è il suo utilizzo strategico del protocollo Rich Communication Services (RCS) per piattaforme come Google Messaggi e iMessage invece di fare affidamento sugli SMS tradizionali per diffondere messaggi di phishing. Questo approccio migliora l’efficacia dei suoi attacchi sfruttando le capacità potenziate di RCS, aumentando potenzialmente il tasso di successo dei tentativi di phishing.
Sommario
La piattaforma di phishing Darcula sta guadagnando terreno tra i criminali informatici
I ricercatori hanno osservato una tendenza in aumento nel campo della criminalità informatica con la crescente popolarità della piattaforma di phishing Darcula. Questa piattaforma è stata coinvolta in numerosi importanti attacchi di phishing nell'ultimo anno, prendendo di mira gli utenti di dispositivi Apple e Android nel Regno Unito, oltre a orchestrare truffe sui pacchi spacciandosi per il servizio postale degli Stati Uniti (USPS). In contrasto con le tradizionali tecniche di phishing, Darcula sfrutta tecnologie moderne come JavaScript, React, Docker e Harbour, facilitando aggiornamenti continui e la perfetta integrazione di nuove funzionalità senza richiedere ai clienti di reinstallare i kit di phishing.
Il kit di phishing offerto da Darcula comprende una raccolta di 200 modelli progettati per impersonare marchi e organizzazioni in più di 100 paesi. Questi modelli presentano pagine di destinazione di alta qualità localizzate con linguaggio, loghi e contenuti accurati.
Per impostare una campagna di phishing, i truffatori scelgono un marchio da impersonare ed eseguono uno script di configurazione, che installa il sito di phishing corrispondente insieme al relativo dashboard di gestione direttamente in un ambiente Docker. Il sistema utilizza il registro dei contenitori open source Harbour per l'hosting delle immagini Docker, mentre i siti di phishing stessi vengono sviluppati utilizzando React.
Secondo i ricercatori, il servizio Darcula utilizza in genere domini di primo livello come ".top" e ".com" per ospitare domini registrati appositamente per i loro attacchi di phishing. Circa un terzo di questi domini sono supportati da Cloudflare, una rete di distribuzione di contenuti ampiamente utilizzata e società di sicurezza Internet.
Darcula si allontana dai canali e dai metodi di phishing consolidati
Darcula si allontana dalle tattiche convenzionali basate sugli SMS sfruttando Rich Communication Services (RCS) per Android e iMessage per iOS per inviare alle vittime messaggi contenenti collegamenti a URL di phishing. Questo approccio offre diversi vantaggi, in quanto i destinatari sono più propensi a percepire tali comunicazioni come autentiche, confidando nelle misure di sicurezza aggiuntive inerenti RCS e iMessage, che non sono disponibili negli SMS. Inoltre, a causa della crittografia end-to-end supportata da RCS e iMessage, intercettare e bloccare i messaggi di phishing in base al loro contenuto diventa impossibile.
I recenti sforzi legislativi a livello mondiale volti a combattere la criminalità informatica basata su SMS ostacolando i messaggi sospetti stanno probabilmente spingendo le piattaforme Phishing-as-a-Service (PaaS) a esplorare protocolli alternativi come RCS e iMessage. Tuttavia, questi protocolli comportano una serie di sfide che i criminali informatici devono affrontare.
Ad esempio, Apple impone restrizioni sugli account che inviano grandi volumi di messaggi a più destinatari. Allo stesso tempo, Google ha recentemente introdotto una limitazione che impedisce ai dispositivi Android rootati di inviare o ricevere messaggi RCS. I criminali informatici tentano di aggirare questi vincoli creando numerosi ID Apple e utilizzando farm di dispositivi per inviare un numero limitato di messaggi da ciascun dispositivo.
Un ostacolo più formidabile risiede nella protezione di iMessage che consente ai destinatari di fare clic su un collegamento URL solo dopo aver risposto al messaggio. Per aggirare questa misura, il messaggio di phishing richiede al destinatario di rispondere con una "S" o "1" prima di riaprire il messaggio per accedere al collegamento. Questo passaggio aggiuntivo può introdurre attriti, diminuendo potenzialmente l’efficacia dell’attacco di phishing.
Come riconoscere messaggi di phishing o dubbi?
È fondamentale che gli utenti adottino un approccio cauto nei confronti di qualsiasi messaggio in arrivo che li spinga a fare clic sugli URL, in particolare se il mittente non ha familiarità. Gli autori delle minacce di phishing innovano continuamente nuovi metodi di distribuzione su varie piattaforme e applicazioni, rendendo essenziale che gli utenti rimangano vigili. I ricercatori consigliano agli utenti di diffidare di segnali quali grammatica errata, errori di ortografia, offerte eccessivamente allettanti o richieste di azione immediata, poiché queste sono tattiche comuni utilizzate nelle tattiche di phishing.
