Darcula Phishing Kit
Появилась недавно появившаяся услуга «Фишинг как услуга» (PaaS), известная как «Darcula», которая использует ошеломляющие 20 000 доменов для подражания авторитетным брендам и кражи учетных данных для входа в систему в основном у пользователей Android и iPhone в более чем 100 странах. Этот сложный инструмент использовался против широкого спектра служб и организаций, включая почтовые, финансовые, правительственные и налоговые ведомства, а также телекоммуникационные компании, авиакомпании и поставщики коммунальных услуг. Он может похвастаться обширным арсеналом, насчитывающим более 200 шаблонов, предоставляющим мошенникам широкий выбор для адаптации своих мошеннических кампаний.
Что отличает Darcula, так это стратегическое использование протокола Rich Communication Services (RCS) для таких платформ, как Google Messages и iMessage, вместо использования традиционных SMS для распространения фишинговых сообщений. Этот подход повышает эффективность атак за счет использования расширенных возможностей RCS, что потенциально увеличивает вероятность успеха попыток фишинга.
Оглавление
Фишинговая платформа Darcula набирает обороты среди киберпреступников
Исследователи отмечают растущую тенденцию в сфере киберпреступности вместе с растущей популярностью фишинговой платформы Darcula. За последний год эта платформа была замешана в многочисленных известных фишинговых атаках, нацеленных на пользователей устройств Apple и Android в Великобритании, а также в организации мошенничества с пакетами под видом Почтовой службы США (USPS). В отличие от традиционных методов фишинга, Darcula использует современные технологии, такие как JavaScript, React, Docker и Harbour, обеспечивая непрерывные обновления и плавную интеграцию новых функций, не требуя от клиентов переустановки комплектов для фишинга.
Фишинговый комплект, предлагаемый Darcula, включает в себя коллекцию из 200 шаблонов, предназначенных для выдачи себя за бренды и организации в более чем 100 странах. Эти шаблоны содержат высококачественные целевые страницы, локализованные с точным языком, логотипами и контентом.
Чтобы настроить фишинговую кампанию, мошенники выбирают бренд, который будет выдавать себя за другое лицо, и запускают сценарий установки, который устанавливает соответствующий фишинговый сайт вместе с его панелью управления непосредственно в среду Docker. В системе используется реестр контейнеров с открытым исходным кодом Harbour для размещения образов Docker, а сами фишинговые сайты разрабатываются с использованием React.
По мнению исследователей, служба Darcula обычно использует домены верхнего уровня, такие как «.top» и «.com», для размещения специально зарегистрированных доменов для своих фишинговых атак. Примерно треть этих доменов поддерживается Cloudflare, широко используемой сетью доставки контента и компанией по обеспечению интернет-безопасности.
Darcula отходит от традиционных каналов и методов фишинга
Darcula отказывается от традиционной тактики, основанной на SMS, используя Rich Communication Services (RCS) для Android и iMessage для iOS для отправки жертвам сообщений, содержащих ссылки на фишинговые URL-адреса. Этот подход дает несколько преимуществ, поскольку получатели более склонны воспринимать такие сообщения как подлинные, доверяя дополнительным мерам безопасности, присущим RCS и iMessage, которые недоступны в SMS. Более того, из-за сквозного шифрования, поддерживаемого RCS и iMessage, перехват и блокировка фишинговых сообщений на основе их содержания становится невозможным.
Недавние законодательные усилия во всем мире, направленные на борьбу с киберпреступностью с использованием SMS путем блокирования подозрительных сообщений, вероятно, побудят платформы «Фишинг как услуга» (PaaS) изучить альтернативные протоколы, такие как RCS и iMessage. Однако эти протоколы сопряжены со своими собственными проблемами, с которыми киберпреступникам приходится сталкиваться.
Например, Apple накладывает ограничения на учетные записи, отправляющие большие объемы сообщений нескольким получателям. В то же время Google недавно ввел ограничение, не позволяющее устройствам Android с root-доступом отправлять или получать сообщения RCS. Киберпреступники пытаются обойти эти ограничения, создавая множество Apple ID и используя фермы устройств для отправки небольшого количества сообщений с каждого устройства.
Более серьезное препятствие заключается в защите iMessage, которая позволяет получателям щелкнуть URL-ссылку только после ответа на сообщение. Чтобы обойти эту меру, фишинговое сообщение предлагает получателю ответить «Y» или «1», прежде чем повторно открыть сообщение для доступа к ссылке. Этот дополнительный шаг может привести к разногласиям, потенциально снижающим эффективность фишинговой атаки.
Как распознать фишинговые или сомнительные сообщения?
Пользователям крайне важно проявлять осторожность в отношении любых входящих сообщений, побуждающих их нажимать на URL-адреса, особенно если отправитель незнаком. Субъекты фишинговых угроз постоянно внедряют новые методы доставки на различные платформы и приложения, поэтому пользователям крайне важно сохранять бдительность. Исследователи советуют пользователям опасаться таких признаков, как неправильная грамматика, орфографические ошибки, чрезмерно заманчивые предложения или требования к немедленным действиям, поскольку это обычная тактика, используемая при фишинге.
