Darcula Phishing Kit
Pojawiła się nowo powstała usługa phishing jako usługa (PaaS), znana jako „Darcula”, wykorzystująca oszałamiającą liczbę 20 000 domen w celu naśladowania renomowanych marek i kradzieży danych logowania, głównie od użytkowników Androida i iPhone'a w ponad 100 krajach. To zaawansowane narzędzie zostało wykorzystane przeciwko różnorodnej gamie usług i organizacji, obejmujących departamenty pocztowe, finansowe, rządowe i podatkowe, a także firmy telekomunikacyjne, linie lotnicze i dostawców usług użyteczności publicznej. Oferuje szeroki arsenał ponad 200 szablonów, zapewniając oszustom szeroki wybór, dzięki któremu mogą dostosować swoje oszukańcze kampanie.
Tym, co wyróżnia Darculę, jest strategiczne wykorzystanie protokołu Rich Communication Services (RCS) dla platform takich jak Google Messages i iMessage, zamiast polegać na tradycyjnych SMS-ach w celu rozpowszechniania wiadomości phishingowych. Takie podejście zwiększa skuteczność ataków, wykorzystując ulepszone możliwości RCS, potencjalnie zwiększając wskaźnik powodzenia prób phishingu.
Spis treści
Platforma phishingowa Darcula zyskuje coraz większą popularność wśród cyberprzestępców
Badacze zaobserwowali rosnący trend w domenie cyberprzestępczości wraz z rosnącą popularnością platformy phishingowej Darcula. W zeszłym roku platforma ta była zamieszana w liczne ataki phishingowe, których celem byli użytkownicy urządzeń Apple i Android w Wielkiej Brytanii, a także organizowanie oszustw związanych z pakietami podszywającymi się pod pocztę Stanów Zjednoczonych (USPS). W przeciwieństwie do tradycyjnych technik phishingu, Darcula wykorzystuje nowoczesne technologie, takie jak JavaScript, React, Docker i Harbor, ułatwiając ciągłe aktualizacje i bezproblemową integrację nowych funkcji bez konieczności ponownej instalacji zestawów phishingowych przez klientów.
Zestaw phishingowy oferowany przez Darcula obejmuje zbiór 200 szablonów zaprojektowanych w celu podszywania się pod marki i organizacje w ponad 100 krajach. Szablony te zawierają wysokiej jakości strony docelowe, które są zlokalizowane i zawierają dokładny język, logo i treść.
Aby skonfigurować kampanię phishingową, oszuści wybierają markę, pod którą się podszywają, i uruchamiają skrypt instalacyjny, który instaluje odpowiednią witrynę phishingową wraz z panelem zarządzania bezpośrednio w środowisku Docker. System wykorzystuje otwarty rejestr kontenerów Harbour do przechowywania obrazów Dockera, natomiast same witryny phishingowe są tworzone przy użyciu React.
Według badaczy usługa Darcula zazwyczaj wykorzystuje domeny najwyższego poziomu, takie jak „.top” i „.com”, do hostowania domen zarejestrowanych w konkretnym celu na potrzeby ataków phishingowych. Około jedna trzecia tych domen jest obsługiwana przez Cloudflare, powszechnie używaną sieć dostarczania treści i firmę zajmującą się bezpieczeństwem w Internecie.
Darcula odchodzi od ustalonych kanałów i metod phishingu
Darcula odchodzi od konwencjonalnych taktyk opartych na SMS-ach, wykorzystując Rich Communication Services (RCS) dla Androida i iMessage dla iOS do wysyłania ofiar wiadomości zawierających łącza do adresów URL phishingowych. Takie podejście ma kilka zalet, ponieważ odbiorcy są bardziej skłonni postrzegać taką komunikację jako autentyczną, pokładając zaufanie w dodatkowych środkach bezpieczeństwa właściwych dla RCS i iMessage, które są niedostępne w SMS-ach. Co więcej, ze względu na kompleksowe szyfrowanie obsługiwane przez RCS i iMessage, przechwytywanie i blokowanie wiadomości phishingowych na podstawie ich treści staje się niewykonalne.
Niedawne wysiłki legislacyjne na całym świecie mające na celu zwalczanie cyberprzestępczości opartej na SMS-ach poprzez blokowanie podejrzanych wiadomości prawdopodobnie skłoniły platformy phishing jako usługa (PaaS) do poszukiwania alternatywnych protokołów, takich jak RCS i iMessage. Protokoły te wiążą się jednak z własnym zestawem wyzwań, z którymi muszą się zmierzyć cyberprzestępcy.
Na przykład Apple nakłada ograniczenia na konta wysyłające duże ilości wiadomości do wielu odbiorców. Jednocześnie Google wprowadził niedawno ograniczenie uniemożliwiające urządzeniom z Androidem zrootowane wysyłanie i odbieranie wiadomości RCS. Cyberprzestępcy próbują ominąć te ograniczenia, tworząc wiele identyfikatorów Apple ID i wykorzystując farmy urządzeń do wysyłania niewielkiej liczby wiadomości z każdego urządzenia.
Bardziej poważną przeszkodą jest zabezpieczenie iMessage, które pozwala odbiorcom kliknąć łącze URL dopiero po udzieleniu odpowiedzi na wiadomość. Aby obejść ten środek, wiadomość phishingowa prosi odbiorcę o wpisanie w odpowiedzi „T” lub „1” przed ponownym otwarciem wiadomości w celu uzyskania dostępu do łącza. Ten dodatkowy krok może spowodować tarcia, potencjalnie zmniejszając skuteczność ataku phishingowego.
Jak rozpoznać phishing lub podejrzane wiadomości?
Bardzo ważne jest, aby użytkownicy przyjęli ostrożne podejście do wszelkich przychodzących wiadomości skłaniających ich do kliknięcia adresów URL, szczególnie jeśli nadawca jest nieznany. Podmioty grożące wyłudzeniem informacji nieustannie wprowadzają nowe metody dostarczania na różne platformy i aplikacje, dlatego użytkownicy powinni zachować czujność. Badacze radzą użytkownikom, aby uważali na takie oznaki, jak niepoprawna gramatyka, błędy ortograficzne, nadmiernie kuszące oferty lub żądania natychmiastowego działania, ponieważ są to typowe taktyki stosowane w taktykach phishingu.
