Darcula Phishing Kit
Pojavila se je novonastala storitev Phishing-as-a-Service (PaaS), znana kot 'Darcula', ki uporablja osupljivih 20.000 domen za posnemanje uglednih blagovnih znamk in krajo poverilnic za prijavo predvsem uporabnikov Android in iPhone v več kot 100 državah. To sofisticirano orodje je bilo uporabljeno proti različnim vrstam storitev in organizacij, ki obsegajo poštne, finančne, vladne in davčne oddelke, pa tudi telekomunikacijska podjetja, letalske družbe in ponudnike komunalnih storitev. Ponaša se z obsežnim arzenalom več kot 200 predlog, ki goljufom ponuja širok izbor za prilagajanje njihovih goljufivih kampanj.
Kar ločuje Darculo od drugih, je njena strateška uporaba protokola Rich Communication Services (RCS) za platforme, kot sta Google Messages in iMessage, namesto zanašanja na tradicionalna sporočila SMS za razširjanje lažnih sporočil. Ta pristop poveča učinkovitost svojih napadov z izkoriščanjem izboljšanih zmogljivosti RCS, kar lahko poveča stopnjo uspešnosti poskusov lažnega predstavljanja.
Kazalo
Platforma za lažno predstavljanje Darcula postaja vse bolj priljubljena med kiberkriminalci
Raziskovalci so opazili naraščajoči trend na področju kibernetske kriminalitete z naraščajočo priljubljenostjo platforme za lažno predstavljanje Darcula. Ta platforma je bila v preteklem letu vpletena v številne pomembne napade z lažnim predstavljanjem, ki so bili usmerjeni na uporabnike naprav Apple in Android v Združenem kraljestvu, pa tudi v organiziranje paketnih prevar, ki so predstavljale poštno službo Združenih držav (USPS). V nasprotju s tradicionalnimi tehnikami lažnega predstavljanja Darcula izkorišča sodobne tehnologije, kot so JavaScript, React, Docker in Harbor, ter omogoča neprekinjeno posodabljanje in brezhibno integracijo novih funkcij, ne da bi morali odjemalci znova namestiti komplete za lažno predstavljanje.
Komplet za lažno predstavljanje, ki ga ponuja Darcula, obsega zbirko 200 predlog, zasnovanih za lažno predstavljanje blagovnih znamk in organizacij v več kot 100 državah. Te predloge vsebujejo visokokakovostne ciljne strani, ki so lokalizirane z natančnim jezikom, logotipi in vsebino.
Za vzpostavitev kampanje lažnega predstavljanja goljufi izberejo blagovno znamko, ki jo bodo posnemali, in izvedejo namestitveni skript, ki namesti ustrezno spletno mesto lažnega predstavljanja skupaj z nadzorno ploščo za upravljanje neposredno v okolje Docker. Sistem uporablja odprtokodni register vsebnikov Harbour za gostovanje slik Docker, medtem ko so sama spletna mesta z lažnim predstavljanjem razvita z uporabo Reacta.
Po mnenju raziskovalcev storitev Darcula običajno uporablja domene najvišje ravni, kot sta '.top' in '.com', da gosti namensko registrirane domene za svoje lažne napade. Približno eno tretjino teh domen podpira Cloudflare, široko uporabljeno omrežje za dostavo vsebine in podjetje za internetno varnost.
Darcula se odmika od uveljavljenih kanalov in metod lažnega predstavljanja
Darcula se odmika od običajnih taktik, ki temeljijo na SMS-ih, tako da izkorišča obogatene komunikacijske storitve (RCS) za Android in iMessage za iOS za pošiljanje sporočil, ki vsebujejo povezave do URL-jev z lažnim predstavljanjem, žrtvam. Ta pristop ponuja številne prednosti, saj so prejemniki bolj nagnjeni k temu, da takšno komunikacijo dojemajo kot pristno, pri čemer zaupajo dodatnim varnostnim ukrepom, ki so del RCS in iMessage, ki niso na voljo v SMS. Poleg tega zaradi šifriranja od konca do konca, ki ga podpirata RCS in iMessage, postane prestrezanje in blokiranje lažnih sporočil na podlagi njihove vsebine neizvedljivo.
Nedavna zakonodajna prizadevanja po vsem svetu, usmerjena v boj proti kibernetskemu kriminalu, ki temelji na sporočilih SMS, z oviranjem sumljivih sporočil bodo verjetno spodbudila platforme Phishing-as-a-Service (PaaS), da raziščejo alternativne protokole, kot sta RCS in iMessage. Vendar ti protokoli prinašajo svoje izzive, ki jih morajo kibernetski kriminalci obvladati.
Apple na primer uvaja omejitve za račune, ki pošiljajo velike količine sporočil več prejemnikom. Hkrati je Google pred kratkim uvedel omejitev, ki preprečuje, da bi zakoreninjene naprave Android pošiljale ali prejemale sporočila RCS. Kibernetski kriminalci poskušajo zaobiti te omejitve z ustvarjanjem številnih Apple ID-jev in uporabo farm naprav za pošiljanje majhnega števila sporočil iz vsake naprave.
Večja ovira je zaščita iMessage, ki dovoljuje prejemnikom, da kliknejo povezavo URL šele po odgovoru na sporočilo. Da bi se izognili temu ukrepu, sporočilo z lažnim predstavljanjem pozove prejemnika, naj odgovori z 'Y' ali '1', preden ponovno odpre sporočilo za dostop do povezave. Ta dodatni korak lahko povzroči trenje, kar lahko zmanjša učinkovitost lažnega predstavljanja.
Kako prepoznati lažno predstavljanje ali dvomljiva sporočila?
Za uporabnike je ključnega pomena, da sprejmejo previden pristop do vseh dohodnih sporočil, ki jih pozivajo, da kliknejo URL-je, zlasti če pošiljatelj ni seznanjen. Akterji groženj lažnega predstavljanja nenehno uvajajo nove načine dostave na različnih platformah in aplikacijah, zaradi česar morajo uporabniki ostati pozorni. Raziskovalci svetujejo uporabnikom, naj bodo pozorni na znake, kot so nepravilna slovnica, črkovalne napake, preveč mamljive ponudbe ali zahteve po takojšnjem ukrepanju, saj so to običajne taktike lažnega predstavljanja.
