Darcula Phishing Kit
En nytillkommen phishing-as-a-Service (PaaS) känd som "Darcula" har dykt upp och använder häpnadsväckande 20 000 domäner för att efterlikna välrenommerade varumärken och stjäla inloggningsuppgifter främst från Android- och iPhone-användare i mer än 100 länder. Detta sofistikerade verktyg har använts mot en mängd olika tjänster och organisationer som spänner över post-, finans-, statliga och skatteavdelningar, såväl som telekommunikationsföretag, flygbolag och leverantörer av allmännyttiga tjänster. Den har en omfattande arsenal av över 200 mallar, vilket ger bedragare ett brett urval för att skräddarsy sina bedrägliga kampanjer.
Det som skiljer Darcula åt är dess strategiska användning av protokollet Rich Communication Services (RCS) för plattformar som Google Messages och iMessage istället för att förlita sig på traditionella SMS för att sprida nätfiskemeddelanden. Detta tillvägagångssätt förbättrar effektiviteten av sina attacker genom att utnyttja de förbättrade funktionerna hos RCS, vilket potentiellt ökar framgångsfrekvensen för nätfiskeförsök.
Innehållsförteckning
Darcula Phishing-plattformen vinner dragkraft bland cyberkriminella
Forskare har observerat en stigande trend inom cyberbrottsområdet med den växande populariteten för Darcula-nätfiskeplattformen. Den här plattformen har varit inblandad i många framträdande nätfiskeattacker under det senaste året, riktade mot användare av både Apple- och Android-enheter i Storbritannien, samt orkestrerat paketbedrägerier som imiterar United States Postal Service (USPS). I motsats till traditionella nätfisketekniker använder Darcula modern teknik som JavaScript, React, Docker och Harbor, vilket underlättar kontinuerliga uppdateringar och sömlös integrering av nya funktioner utan att klienterna behöver installera om nätfiske-kit.
Nätfiskepaketet som erbjuds av Darcula består av en samling av 200 mallar utformade för att imitera varumärken och organisationer i mer än 100 länder. Dessa mallar har målsidor av hög kvalitet som är lokaliserade med korrekt språk, logotyper och innehåll.
För att skapa en nätfiskekampanj väljer bedragare ett varumärke att utge sig för och kör ett installationsskript, som installerar motsvarande nätfiskewebbplats tillsammans med dess kontrollpanel direkt i en Docker-miljö. Systemet använder containerregistret Harbor med öppen källkod för att vara värd för Docker-bilder, medan själva nätfiskesidorna utvecklas med React.
Enligt forskare använder Darcula-tjänsten vanligtvis toppdomäner som ".top" och ".com" för att vara värd för ändamålsregistrerade domäner för deras nätfiskeattacker. Ungefär en tredjedel av dessa domäner stöds av Cloudflare, ett allmänt använt nätverk för innehållsleverans och Internetsäkerhetsföretag.
Darcula flyttar bort från etablerade nätfiskekanaler och metoder
Darcula bryter sig från konventionell SMS-baserad taktik genom att utnyttja Rich Communication Services (RCS) för Android och iMessage för iOS för att skicka meddelanden som innehåller länkar till nätfiske-URL:er till offer. Detta tillvägagångssätt erbjuder flera fördelar, eftersom mottagare är mer benägna att uppfatta sådan kommunikation som äkta, vilket litar på de ytterligare säkerhetsåtgärder som är inneboende i RCS och iMessage, som inte är tillgängliga i SMS. Dessutom, på grund av end-to-end-krypteringen som stöds av RCS och iMessage, blir det omöjligt att avlyssna och blockera nätfiskemeddelanden baserat på deras innehåll.
Nyligen genomförda lagstiftningsinsatser över hela världen som syftar till att bekämpa SMS-baserad cyberbrottslighet genom att blockera misstänkta meddelanden kommer sannolikt att få phishing-as-a-Service (PaaS)-plattformar att utforska alternativa protokoll som RCS och iMessage. Dessa protokoll kommer dock med sina egna utmaningar som cyberbrottslingar måste navigera.
Till exempel inför Apple begränsningar för konton som skickar stora volymer meddelanden till flera mottagare. Samtidigt har Google nyligen infört en begränsning som förhindrar rotade Android-enheter från att skicka eller ta emot RCS-meddelanden. Cyberkriminella försöker kringgå dessa begränsningar genom att skapa många Apple-ID:n och använda enhetsfarmar för att skicka ett litet antal meddelanden från varje enhet.
Ett mer formidabelt hinder ligger i ett iMessage-skydd som tillåter mottagare att klicka på en URL-länk först efter att ha svarat på meddelandet. För att kringgå denna åtgärd uppmanar nätfiskemeddelandet mottagaren att svara med ett "Y" eller "1" innan meddelandet öppnas igen för att komma åt länken. Detta ytterligare steg kan introducera friktion, vilket potentiellt minskar effektiviteten av nätfiskeattacken.
Hur känner man igen nätfiske eller tvivelaktiga meddelanden?
Det är avgörande för användare att anta en försiktig inställning till alla inkommande meddelanden som uppmanar dem att klicka på webbadresser, särskilt om avsändaren är obekant. Aktörer från nätfiskehot förnyar kontinuerligt nya leveransmetoder över olika plattformar och applikationer, vilket gör det viktigt för användare att vara vaksamma. Forskare råder användare att vara försiktiga med tecken som felaktig grammatik, stavfel, alltför lockande erbjudanden eller krav på omedelbara åtgärder, eftersom dessa är vanliga taktiker som används av nätfisketaktik.
