Darcula Phishing-kit
Er is een nieuw opgekomen Phishing-as-a-Service (PaaS), bekend als 'Darcula', opgedoken, waarbij maar liefst 20.000 domeinen worden gebruikt om gerenommeerde merken na te bootsen en inloggegevens te stelen, voornamelijk van Android- en iPhone-gebruikers in meer dan 100 landen. Dit geavanceerde instrument is ingezet tegen een breed scala aan diensten en organisaties, waaronder post-, financiële, overheids- en belastingafdelingen, maar ook telecommunicatiebedrijven, luchtvaartmaatschappijen en nutsbedrijven. Het beschikt over een uitgebreid arsenaal van meer dan 200 sjablonen, waardoor fraudeurs een ruime keuze hebben om hun bedrieglijke campagnes op maat te maken.
Wat Darcula onderscheidt is het strategische gebruik van het Rich Communication Services (RCS)-protocol voor platforms als Google Messages en iMessage, in plaats van te vertrouwen op traditionele sms-berichten om phishing-berichten te verspreiden. Deze aanpak vergroot de effectiviteit van de aanvallen door gebruik te maken van de verbeterde mogelijkheden van RCS, waardoor mogelijk het succespercentage van phishing-pogingen wordt vergroot.
Inhoudsopgave
Het Darcula Phishing-platform wint terrein onder cybercriminelen
Onderzoekers hebben een stijgende trend op het gebied van cybercriminaliteit waargenomen met de groeiende populariteit van het Darcula-phishingplatform. Dit platform is het afgelopen jaar betrokken geweest bij talloze prominente phishing-aanvallen, gericht op gebruikers van zowel Apple- als Android-apparaten in het Verenigd Koninkrijk, en bij het organiseren van oplichting van pakketten waarbij de identiteit van de United States Postal Service (USPS) wordt nagebootst. In tegenstelling tot traditionele phishing-technieken maakt Darcula gebruik van moderne technologieën zoals JavaScript, React, Docker en Harbor, waardoor continue updates en de naadloze integratie van nieuwe functies mogelijk worden gemaakt zonder dat klanten phishing-kits opnieuw hoeven te installeren.
De phishing-kit van Darcula bestaat uit een verzameling van 200 sjablonen die zijn ontworpen om merken en organisaties in meer dan 100 landen na te bootsen. Deze sjablonen bevatten bestemmingspagina's van hoge kwaliteit die zijn gelokaliseerd met nauwkeurig taalgebruik, logo's en inhoud.
Om een phishing-campagne op te zetten, kiezen fraudeurs een merk om zich voor te doen en voeren ze een installatiescript uit, dat de bijbehorende phishing-site samen met het bijbehorende managementdashboard rechtstreeks in een Docker-omgeving installeert. Het systeem maakt gebruik van het open-source containerregister Harbor voor het hosten van Docker-images, terwijl de phishing-sites zelf zijn ontwikkeld met React.
Volgens onderzoekers maakt de Darcula-service doorgaans gebruik van topniveaudomeinen zoals '.top' en '.com' om speciaal geregistreerde domeinen te hosten voor hun phishing-aanvallen. Ongeveer een derde van deze domeinen wordt ondersteund door Cloudflare, een veelgebruikt contentleveringsnetwerk en internetbeveiligingsbedrijf.
Darcula wijkt af van gevestigde phishing-kanalen en -methoden
Darcula breekt met conventionele sms-gebaseerde tactieken door gebruik te maken van Rich Communication Services (RCS) voor Android en iMessage voor iOS om berichten met links naar phishing-URL's naar slachtoffers te verzenden. Deze aanpak biedt verschillende voordelen, omdat ontvangers eerder geneigd zijn dergelijke communicatie als echt te beschouwen, waardoor ze vertrouwen stellen in de aanvullende beveiligingsmaatregelen die inherent zijn aan RCS en iMessage, die niet beschikbaar zijn in sms. Bovendien wordt het onderscheppen en blokkeren van phishing-berichten op basis van hun inhoud, vanwege de end-to-end-codering die wordt ondersteund door RCS en iMessage, onhaalbaar.
Recente wetgevende inspanningen wereldwijd gericht op het bestrijden van sms-gebaseerde cybercriminaliteit door het tegenhouden van verdachte berichten zullen waarschijnlijk Phishing-as-a-Service (PaaS)-platforms ertoe aanzetten alternatieve protocollen zoals RCS en iMessage te verkennen. Deze protocollen brengen echter hun eigen uitdagingen met zich mee waar cybercriminelen mee om moeten gaan.
Apple legt bijvoorbeeld beperkingen op aan accounts die grote hoeveelheden berichten naar meerdere ontvangers verzenden. Tegelijkertijd heeft Google onlangs een beperking geïntroduceerd die verhindert dat geroote Android-apparaten RCS-berichten kunnen verzenden of ontvangen. Cybercriminelen proberen deze beperkingen te omzeilen door talloze Apple ID's aan te maken en apparaatfarms te gebruiken om vanaf elk apparaat een klein aantal berichten te verzenden.
Een groter obstakel is de iMessage-beveiliging die ontvangers toestaat pas op een URL-link te klikken nadat ze op het bericht hebben gereageerd. Om deze maatregel te omzeilen, vraagt het phishing-bericht de ontvanger om te antwoorden met een 'Y' of '1' voordat het bericht opnieuw wordt geopend om toegang te krijgen tot de link. Deze extra stap kan voor wrijving zorgen, waardoor de effectiviteit van de phishing-aanval mogelijk afneemt.
Hoe herken je phishing of dubieuze berichten?
Het is van cruciaal belang dat gebruikers voorzichtig omgaan met inkomende berichten waarin ze worden gevraagd op URL's te klikken, vooral als de afzender onbekend is. Phishing-bedreigingsactoren innoveren voortdurend nieuwe leveringsmethoden op verschillende platforms en applicaties, waardoor het essentieel is dat gebruikers waakzaam blijven. Onderzoekers adviseren gebruikers op hun hoede te zijn voor signalen zoals onjuiste grammatica, spelfouten, overdreven verleidelijke aanbiedingen of eisen voor onmiddellijke actie, aangezien dit veel voorkomende tactieken zijn die bij phishing-tactieken worden gebruikt.
