Darcula 피싱 키트
'Darcula'로 알려진 새로 등장한 PaaS(Phishing-as-a-Service)가 등장했습니다. 이는 엄청난 20,000개의 도메인을 활용하여 평판이 좋은 브랜드를 모방하고 주로 100개 이상의 국가에 걸쳐 Android 및 iPhone 사용자의 로그인 자격 증명을 훔치는 것입니다. 이 정교한 도구는 우편, 금융, 정부, 세무 부서는 물론 통신 회사, 항공사 및 유틸리티 제공업체에 이르는 다양한 서비스 및 조직을 대상으로 사용되었습니다. 200개 이상의 템플릿으로 구성된 광범위한 무기고를 자랑하며 사기꾼에게 사기 캠페인을 맞춤화할 수 있는 다양한 선택권을 제공합니다.
Darcula를 차별화하는 점은 피싱 메시지를 전파하기 위해 기존 SMS에 의존하는 대신 Google 메시지 및 iMessage와 같은 플랫폼에 RCS(Rich Communication Services) 프로토콜을 전략적으로 활용한다는 것입니다. 이 접근 방식은 RCS의 향상된 기능을 활용하여 공격의 효율성을 높이고 잠재적으로 피싱 시도의 성공률을 높입니다.
목차
Darcula 피싱 플랫폼이 사이버 범죄자들 사이에서 주목을 받고 있습니다.
연구원들은 Darcula 피싱 플랫폼의 인기가 높아짐에 따라 사이버 범죄 영역에서 증가하는 추세를 관찰했습니다. 이 플랫폼은 지난 1년 동안 영국의 Apple 및 Android 장치 사용자를 대상으로 한 수많은 피싱 공격에 연루되었으며 미국 우체국(USPS)을 사칭한 소포 사기를 조율했습니다. 기존 피싱 기술과 달리 Darcula는 JavaScript, React, Docker 및 Harbor와 같은 최신 기술을 활용하여 클라이언트가 피싱 키트를 다시 설치할 필요 없이 지속적인 업데이트와 새로운 기능의 원활한 통합을 촉진합니다.
Darcula가 제공하는 피싱 키트는 100개 이상의 국가에서 브랜드와 조직을 사칭하도록 설계된 200개의 템플릿 컬렉션으로 구성됩니다. 이러한 템플릿은 정확한 언어, 로고 및 콘텐츠로 현지화된 고품질 랜딩 페이지를 제공합니다.
피싱 캠페인을 설정하기 위해 사기꾼은 브랜드를 선택하여 가장하고 설정 스크립트를 실행합니다. 그러면 해당 피싱 사이트와 관리 대시보드가 Docker 환경에 직접 설치됩니다. 시스템은 Docker 이미지 호스팅을 위해 오픈 소스 컨테이너 레지스트리 Harbor를 사용하고 피싱 사이트 자체는 React를 사용하여 개발됩니다.
연구원에 따르면 Darcula 서비스는 일반적으로 피싱 공격을 위해 목적에 따라 등록된 도메인을 호스팅하기 위해 '.top' 및 '.com'과 같은 최상위 도메인을 활용합니다. 이러한 도메인 중 약 1/3은 널리 사용되는 콘텐츠 전송 네트워크 및 인터넷 보안 회사인 Cloudflare에서 지원됩니다.
Darcula는 기존 피싱 채널 및 방법에서 벗어났습니다.
Darcula는 Android용 RCS(Rich Communication Services)와 iOS용 iMessage를 활용하여 피싱 URL 링크가 포함된 메시지를 피해자에게 발송함으로써 기존의 SMS 기반 전술에서 벗어났습니다. 이 접근 방식은 수신자가 그러한 통신을 진짜로 인식하는 경향이 더 많아지고 SMS에서는 사용할 수 없는 RCS 및 iMessage에 내재된 추가 보안 조치를 신뢰하게 되므로 여러 가지 이점을 제공합니다. 또한 RCS 및 iMessage가 지원하는 종단 간 암호화로 인해 내용을 기반으로 피싱 메시지를 가로채고 차단하는 것이 불가능해집니다.
의심스러운 메시지를 차단하여 SMS 기반 사이버 범죄에 맞서기 위한 최근 전 세계의 입법 노력으로 인해 PaaS(Phishing-as-a-Service) 플랫폼이 RCS 및 iMessage와 같은 대체 프로토콜을 모색하게 될 가능성이 높습니다. 그러나 이러한 프로토콜에는 사이버 범죄자가 해결해야 하는 고유한 과제가 있습니다.
예를 들어 Apple은 여러 수신자에게 대량의 메시지를 보내는 계정에 제한을 적용합니다. 동시에 Google은 최근 루팅된 Android 기기에서 RCS 메시지를 보내거나 받는 것을 방지하는 제한 사항을 도입했습니다. 사이버 범죄자는 수많은 Apple ID를 생성하고 디바이스 팜을 활용하여 각 디바이스에서 적은 수의 메시지를 발송함으로써 이러한 제약을 우회하려고 시도합니다.
더 큰 장애물은 수신자가 메시지에 응답한 후에만 URL 링크를 클릭할 수 있도록 허용하는 iMessage 보호 장치에 있습니다. 이 조치를 우회하기 위해 피싱 메시지는 링크에 액세스하기 위해 메시지를 다시 열기 전에 수신자에게 'Y' 또는 '1'로 응답하라는 메시지를 표시합니다. 이 추가 단계로 인해 마찰이 발생하여 잠재적으로 피싱 공격의 효율성이 저하될 수 있습니다.
피싱 또는 의심스러운 메시지를 식별하는 방법은 무엇입니까?
특히 보낸 사람이 익숙하지 않은 경우 URL을 클릭하라는 메시지가 수신되면 사용자는 신중한 접근 방식을 채택하는 것이 중요합니다. 피싱 위협 행위자는 다양한 플랫폼과 애플리케이션 전반에 걸쳐 지속적으로 새로운 전달 방법을 혁신하므로 사용자가 경계심을 유지하는 것이 필수적입니다. 연구원들은 잘못된 문법, 철자 오류, 지나치게 유혹적인 제안 또는 즉각적인 조치 요구와 같은 징후를 조심하라고 사용자에게 조언합니다. 이러한 징후는 피싱 전술에서 흔히 사용되는 전술입니다.
