Darcula Phishing Kit
Objavil sa novovzniknutý phishing-as-a-Service (PaaS) známy ako „Darcula“, ktorý využíva ohromujúcich 20 000 domén na napodobňovanie renomovaných značiek a krádeží prihlasovacích údajov predovšetkým od používateľov Android a iPhone vo viac ako 100 krajinách. Tento sofistikovaný nástroj bol využívaný proti rôznym službám a organizáciám, ktoré zahŕňajú poštové, finančné, vládne a daňové oddelenia, ako aj telekomunikačné spoločnosti, letecké spoločnosti a poskytovateľov služieb. Môže sa pochváliť rozsiahlym arzenálom viac ako 200 šablón, ktoré podvodníkom poskytujú široký výber na prispôsobenie ich podvodných kampaní.
To, čo odlišuje Darculu, je jej strategické využitie protokolu Rich Communication Services (RCS) pre platformy ako Google Messages a iMessage namiesto spoliehania sa na tradičné SMS na šírenie phishingových správ. Tento prístup zvyšuje účinnosť svojich útokov využívaním vylepšených schopností RCS, čo potenciálne zvyšuje úspešnosť pokusov o phishing.
Obsah
Phishingová platforma Darcula si získava pozornosť medzi kyberzločincami
Výskumníci pozorovali stúpajúci trend v oblasti počítačovej kriminality s rastúcou popularitou phishingovej platformy Darcula. Táto platforma bola za posledný rok zapletená do mnohých prominentných phishingových útokov zameraných na používateľov zariadení Apple aj Android v Spojenom kráľovstve, ako aj do organizovania podvodných balíkov vydávajúcich sa za poštovú službu Spojených štátov (USPS). Na rozdiel od tradičných techník phishingu využíva Darcula moderné technológie, ako sú JavaScript, React, Docker a Harbor, čo umožňuje nepretržité aktualizácie a bezproblémovú integráciu nových funkcií bez toho, aby si klienti museli preinštalovať súpravy na phishing.
Súprava na phishing, ktorú ponúka Darcula, obsahuje kolekciu 200 šablón navrhnutých na vydávanie sa za značky a organizácie vo viac ako 100 krajinách. Tieto šablóny obsahujú vysokokvalitné vstupné stránky, ktoré sú lokalizované s presným jazykom, logami a obsahom.
Na nastavenie phishingovej kampane si podvodníci vyberú značku, aby sa odcudzili, a spustia skript nastavenia, ktorý nainštaluje príslušnú phishingovú stránku spolu s jej riadiacim panelom priamo do prostredia Docker. Systém využíva open-source kontajnerový register Harbor na hosťovanie obrázkov Docker, zatiaľ čo samotné phishingové stránky sú vyvinuté pomocou React.
Podľa výskumníkov služba Darcula zvyčajne využíva domény najvyššej úrovne ako '.top' a '.com' na hosťovanie účelovo registrovaných domén pre ich phishingové útoky. Približne jedna tretina týchto domén je podporovaná Cloudflare, široko používanou sieťou na doručovanie obsahu a internetovou bezpečnostnou spoločnosťou.
Darcula sa odkláňa od zavedených phishingových kanálov a metód
Darcula sa vymyká konvenčnej taktike založenej na SMS využívaním služieb Rich Communication Services (RCS) pre Android a iMessage pre iOS na odosielanie správ obsahujúcich odkazy na phishingové adresy URL obetiam. Tento prístup ponúka niekoľko výhod, pretože príjemcovia majú väčšiu tendenciu vnímať takúto komunikáciu ako skutočnú, pričom dôverujú dodatočným bezpečnostným opatreniam, ktoré sú vlastné RCS a iMessage, ktoré nie sú dostupné v SMS. Okrem toho, vzhľadom na end-to-end šifrovanie podporované RCS a iMessage, zachytenie a blokovanie phishingových správ na základe ich obsahu sa stáva nerealizovateľným.
Nedávne celosvetové legislatívne úsilie zamerané na boj proti počítačovej kriminalite založenej na SMS prostredníctvom blokovania podozrivých správ pravdepodobne podnieti platformy Phishing-as-a-Service (PaaS) k preskúmaniu alternatívnych protokolov, ako sú RCS a iMessage. Tieto protokoly však prichádzajú so svojimi vlastnými problémami, ktoré musia kyberzločinci zvládnuť.
Napríklad spoločnosť Apple ukladá obmedzenia na účty odosielajúce veľké množstvo správ viacerým príjemcom. Spoločnosť Google zároveň nedávno zaviedla obmedzenie, ktoré bráni rootovaným zariadeniam s Androidom odosielať alebo prijímať správy RCS. Kyberzločinci sa pokúšajú obísť tieto obmedzenia vytváraním mnohých Apple ID a využívaním fariem zariadení na odosielanie malého počtu správ z každého zariadenia.
Hrozivejšou prekážkou je ochrana iMessage, ktorá umožňuje príjemcom kliknúť na odkaz URL až po odpovedi na správu. Aby sa toto opatrenie obišlo, phishingová správa vyzve príjemcu, aby odpovedal „Y“ alebo „1“ pred opätovným otvorením správy na prístup k odkazu. Tento dodatočný krok môže spôsobiť trenie a potenciálne znížiť účinnosť phishingového útoku.
Ako rozpoznať phishing alebo pochybné správy?
Je dôležité, aby používatelia zaujali opatrný prístup k akýmkoľvek prichádzajúcim správam, ktoré ich vyzývajú, aby klikli na adresy URL, najmä ak odosielateľ nie je oboznámený. Aktéri hrozieb phishingu neustále inovujú nové spôsoby poskytovania na rôznych platformách a aplikáciách, takže je nevyhnutné, aby používatelia zostali ostražití. Výskumníci odporúčajú používateľom, aby si dávali pozor na znaky, ako sú nesprávna gramatika, pravopisné chyby, príliš lákavé ponuky alebo požiadavky na okamžitú akciu, pretože ide o bežné taktiky používané pri taktikách phishingu.
