Darcula Phishig Kit
Um recém-surgido Phishing-as-a-Service (PaaS) conhecido como ‘Darcula’ surgiu, utilizando impressionantes 20.000 domínios para imitar marcas respeitáveis e roubar credenciais de login principalmente de usuários de Android e iPhone em mais de 100 países. Esta ferramenta sofisticada tem sido utilizada contra uma gama diversificada de serviços e organizações que abrangem departamentos postais, financeiros, governamentais e fiscais, bem como empresas de telecomunicações, companhias aéreas e prestadores de serviços públicos. Possui um extenso arsenal de mais de 200 modelos, fornecendo aos fraudadores uma ampla seleção para personalizar suas campanhas enganosas.
O que diferencia a Darcula é a utilização estratégica do protocolo Rich Communication Services (RCS) para plataformas como Google Messages e iMessage, em vez de depender do SMS tradicional para disseminar mensagens de phishing. Esta abordagem aumenta a eficácia dos seus ataques, aproveitando as capacidades melhoradas do RCS, aumentando potencialmente a taxa de sucesso das tentativas de phishing.
Índice
A Plataforma de Phishing Darcula está Ganhando Força entre os Cibercriminosos
Os pesquisadores observaram uma tendência crescente no domínio do crime cibernético com a crescente popularidade da plataforma de phishing Darcula. Esta plataforma foi implicada em vários ataques de phishing proeminentes no ano passado, visando usuários de dispositivos Apple e Android no Reino Unido, bem como orquestrando golpes de pacotes que se faziam passar pelo Serviço Postal dos Estados Unidos (USPS). Em contraste com as técnicas tradicionais de phishing, o Darcula aproveita tecnologias modernas como JavaScript, React, Docker e Harbour, facilitando atualizações contínuas e a integração perfeita de novos recursos sem exigir que os clientes reinstalem kits de phishing.
O kit de phishing oferecido pela Darcula compreende uma coleção de 200 modelos projetados para se passar por marcas e organizações em mais de 100 países. Esses modelos apresentam páginas iniciais de alta qualidade localizadas com linguagem, logotipos e conteúdo precisos.
Para configurar uma campanha de phishing, os fraudadores escolhem uma marca para se passar por uma marca e executam um script de configuração, que instala o site de phishing correspondente junto com seu painel de gerenciamento diretamente em um ambiente Docker. O sistema emprega o registro de contêineres de código aberto Harbour para hospedar imagens Docker, enquanto os próprios sites de phishing são desenvolvidos usando React.
De acordo com os pesquisadores, o serviço Darcula normalmente utiliza domínios de nível superior, como ‘.top’ e ‘.com’ para hospedar domínios registrados especificamente para seus ataques de phishing. Aproximadamente um terço desses domínios são suportados pela Cloudflare, uma rede de distribuição de conteúdo amplamente utilizada e empresa de segurança na Internet.
O Darcula se Afasta dos Canais e Métodos de Phishing Estabelecidos
Darcula rompe com as táticas convencionais baseadas em SMS, aproveitando Rich Communication Services (RCS) para Android e iMessage para iOS para enviar mensagens contendo links para URLs de phishing para as vítimas. Esta abordagem oferece diversas vantagens, uma vez que os destinatários estão mais inclinados a considerar tais comunicações como genuínas, confiando nas medidas de segurança adicionais inerentes ao RCS e ao iMessage, que não estão disponíveis no SMS. Além disso, devido à criptografia ponta a ponta suportada pelo RCS e iMessage, a interceptação e o bloqueio de mensagens de phishing com base no seu conteúdo torna-se inviável.
Esforços legislativos recentes em todo o mundo destinados a combater o crime cibernético baseado em SMS, obstruindo mensagens suspeitas, estão provavelmente a levar as plataformas de Phishing-as-a-Service (PaaS) a explorar protocolos alternativos como RCS e iMessage. No entanto, esses protocolos apresentam seus próprios conjuntos de desafios que os cibercriminosos devem enfrentar.
Por exemplo, a Apple impõe restrições às contas que enviam grandes volumes de mensagens para vários destinatários. Ao mesmo tempo, o Google introduziu recentemente uma limitação que impede que dispositivos Android com root enviem ou recebam mensagens RCS. Os cibercriminosos tentam contornar essas restrições criando vários IDs Apple e utilizando farms de dispositivos para enviar um pequeno número de mensagens de cada dispositivo.
Um obstáculo mais formidável reside em uma proteção do iMessage que permite aos destinatários clicar em um link de URL somente depois de responder à mensagem. Para contornar essa medida, a mensagem de phishing solicita que o destinatário responda com um ‘Y’ ou ‘1’ antes de reabrir a mensagem para acessar o link. Esta etapa adicional pode introduzir atrito, diminuindo potencialmente a eficácia do ataque de phishing.
Como Reconhecer as Mensagens de Phishing ou Duvidosas?
É crucial que os usuários adotem uma abordagem cautelosa em relação a qualquer mensagem recebida que os leve a clicar em URLs, principalmente se o remetente não estiver familiarizado. Os atores de ameaças de phishing inovam continuamente em novos métodos de entrega em diversas plataformas e aplicativos, tornando essencial que os usuários permaneçam vigilantes. Os pesquisadores aconselham os usuários a terem cuidado com sinais como gramática incorreta, erros ortográficos, ofertas excessivamente atraentes ou demandas de ação imediata, pois essas são táticas comuns empregadas por táticas de phishing.
