Darcula Phishing Kit
A apărut un nou Phishing-as-a-Service (PaaS) cunoscut sub numele de „Darcula”, utilizând 20.000 de domenii uimitoare pentru a imita mărci de renume și fura acreditările de conectare în principal de la utilizatorii Android și iPhone din peste 100 de țări. Acest instrument sofisticat a fost folosit pentru o gamă variată de servicii și organizații, cuprinzând departamente poștale, financiare, guvernamentale și fiscale, precum și companii de telecomunicații, companii aeriene și furnizori de utilități. Se mândrește cu un arsenal extins de peste 200 de șabloane, oferind fraudătorilor o selecție largă pentru a-și adapta campaniile înșelătoare.
Ceea ce diferențiază Darcula este utilizarea strategică a protocolului Rich Communication Services (RCS) pentru platforme precum Google Messages și iMessage, în loc să se bazeze pe SMS-urile tradiționale pentru a disemina mesaje de phishing. Această abordare îmbunătățește eficacitatea atacurilor sale prin valorificarea capacităților îmbunătățite ale RCS, crescând potențial rata de succes a încercărilor de phishing.
Cuprins
Platforma de phishing Darcula câștigă acțiune printre criminalii cibernetici
Cercetătorii au observat o tendință de creștere în domeniul criminalității cibernetice, odată cu popularitatea tot mai mare a platformei de phishing Darcula. Această platformă a fost implicată în numeroase atacuri proeminente de phishing în ultimul an, care vizează utilizatorii atât ai dispozitivelor Apple, cât și Android din Marea Britanie, precum și orchestrând înșelătorii de pachete usurpanându-se Serviciul Poștal al Statelor Unite (USPS). Spre deosebire de tehnicile tradiționale de phishing, Darcula folosește tehnologii moderne precum JavaScript, React, Docker și Harbour, facilitând actualizările continue și integrarea perfectă a noilor funcții, fără a solicita clienților să reinstaleze kiturile de phishing.
Setul de phishing oferit de Darcula cuprinde o colecție de 200 de șabloane concepute pentru a uzurpa identitatea mărcilor și organizațiilor din peste 100 de țări. Aceste șabloane prezintă pagini de destinație de înaltă calitate, care sunt localizate cu limbaj, sigle și conținut precis.
Pentru a configura o campanie de phishing, fraudatorii aleg o marcă pentru a uzurpa identitatea și execută un script de configurare, care instalează site-ul de phishing corespunzător împreună cu tabloul de bord de gestionare direct într-un mediu Docker. Sistemul folosește registrul de containere open-source Harbour pentru găzduirea imaginilor Docker, în timp ce site-urile de phishing în sine sunt dezvoltate folosind React.
Potrivit cercetătorilor, serviciul Darcula utilizează de obicei domenii de nivel superior, cum ar fi „.top” și „.com” pentru a găzdui domenii înregistrate în scopul atacurilor lor de phishing. Aproximativ o treime din aceste domenii sunt susținute de Cloudflare, o rețea de livrare a conținutului utilizată pe scară largă și o companie de securitate pe internet.
Darcula se îndepărtează de canalele și metodele de phishing consacrate
Darcula se îndepărtează de tacticile convenționale bazate pe SMS, utilizând Rich Communication Services (RCS) pentru Android și iMessage pentru iOS pentru a trimite victimelor mesaje care conțin linkuri către adrese URL de phishing. Această abordare oferă mai multe avantaje, deoarece destinatarii sunt mai înclinați să perceapă astfel de comunicări ca fiind autentice, punând încredere în măsurile de securitate suplimentare inerente RCS și iMessage, care nu sunt disponibile în SMS. În plus, datorită criptării end-to-end suportate de RCS și iMessage, interceptarea și blocarea mesajelor de phishing pe baza conținutului lor devine imposibilă.
Eforturile legislative recente la nivel mondial care vizează combaterea criminalității cibernetice bazate pe SMS prin obstrucționarea mesajelor suspecte determină probabil platformele Phishing-as-a-Service (PaaS) să exploreze protocoale alternative precum RCS și iMessage. Cu toate acestea, aceste protocoale vin cu propriile seturi de provocări pe care infractorii cibernetici trebuie să le parcurgă.
De exemplu, Apple impune restricții asupra conturilor care trimit volume mari de mesaje către mai mulți destinatari. În același timp, Google a introdus recent o limitare care împiedică dispozitivele Android rootate să trimită sau să primească mesaje RCS. Infractorii cibernetici încearcă să ocolească aceste constrângeri creând numeroase ID-uri Apple și utilizând fermele de dispozitive pentru a trimite un număr mic de mesaje de pe fiecare dispozitiv.
Un obstacol mai formidabil constă într-o protecție iMessage care permite destinatarilor să facă clic pe un link URL numai după ce au răspuns la mesaj. Pentru a evita această măsură, mesajul de phishing îi solicită destinatarului să răspundă cu „Y” sau „1” înainte de a redeschide mesajul pentru a accesa linkul. Acest pas suplimentar poate introduce frecare, scăzând potențial eficacitatea atacului de phishing.
Cum să recunoașteți mesajele de phishing sau dubioase?
Este esențial ca utilizatorii să adopte o abordare prudentă față de orice mesaje primite care îi determină să facă clic pe adrese URL, mai ales dacă expeditorul nu este familiarizat. Actorii amenințărilor de phishing inovează în mod continuu noi metode de livrare pe diverse platforme și aplicații, ceea ce face esențial ca utilizatorii să rămână vigilenți. Cercetătorii sfătuiesc utilizatorii să fie atenți la semne precum gramatica incorectă, greșelile de ortografie, ofertele excesiv de ademenitoare sau cererile de acțiune imediată, deoarece acestea sunt tactici comune folosite de tacticile de phishing.
