Darcula Phishing Kit
Lumitaw ang isang bagong umusbong na Phishing-as-a-Service (PaaS) na kilala bilang 'Darcula', na gumagamit ng nakakagulat na 20,000 domain para gayahin ang mga reputable na brand at mga kredensyal sa pag-log in sa pagnanakaw lalo na mula sa mga user ng Android at iPhone sa mahigit 100 bansa. Ang sopistikadong tool na ito ay ginamit laban sa magkakaibang hanay ng mga serbisyo at organisasyon na sumasaklaw sa mga departamento ng postal, pananalapi, pamahalaan, at pagbubuwis, pati na rin ang mga kumpanya ng telekomunikasyon, airline at utility provider. Ipinagmamalaki nito ang isang malawak na arsenal ng higit sa 200 mga template, na nagbibigay sa mga manloloko ng malawak na pagpipilian upang maiangkop ang kanilang mga mapanlinlang na kampanya.
Ang pinagkaiba ng Darcula ay ang madiskarteng paggamit nito ng Rich Communication Services (RCS) na protocol para sa mga platform tulad ng Google Messages at iMessage sa halip na umasa sa tradisyonal na SMS upang ipakalat ang mga mensahe ng phishing. Pinapahusay ng diskarteng ito ang bisa ng mga pag-atake nito sa pamamagitan ng paggamit sa mga pinahusay na kakayahan ng RCS, na posibleng tumaas ang rate ng tagumpay ng mga pagtatangka sa phishing.
Talaan ng mga Nilalaman
Ang Darcula Phishing Platform ay Nagkakaroon ng Traction sa mga Cybercriminals
Naobserbahan ng mga mananaliksik ang tumataas na trend sa cybercrime domain na may lumalagong kasikatan ng Darcula phishing platform. Nasangkot ang platform na ito sa maraming kilalang pag-atake ng phishing sa nakalipas na taon, na nagta-target sa mga user ng parehong Apple at Android device sa UK, pati na rin ang pag-oorkestra ng mga package scam na nagpapanggap bilang United States Postal Service (USPS). Kabaligtaran sa tradisyonal na mga diskarte sa phishing, ginagamit ng Darcula ang mga makabagong teknolohiya tulad ng JavaScript, React, Docker, at Harbor, na pinapadali ang patuloy na pag-update at ang tuluy-tuloy na pagsasama ng mga bagong feature nang hindi nangangailangan ng mga kliyente na muling mag-install ng mga phishing kit.
Ang phishing kit na inaalok ng Darcula ay binubuo ng isang koleksyon ng 200 mga template na idinisenyo upang magpanggap bilang mga tatak at organisasyon sa higit sa 100 mga bansa. Nagtatampok ang mga template na ito ng mataas na kalidad na mga landing page na na-localize gamit ang tumpak na wika, mga logo at nilalaman.
Para mag-set up ng phishing campaign, pipili ang mga manloloko ng brand na magpapanggap at magpapatupad ng script ng pag-setup, na direktang nag-i-install ng kaukulang phishing site kasama ng dashboard ng pamamahala nito sa isang Docker environment. Ginagamit ng system ang open-source container registry Harbor para sa pagho-host ng mga larawan ng Docker, habang ang mga phishing site mismo ay binuo gamit ang React.
Ayon sa mga mananaliksik, ang serbisyo ng Darcula ay karaniwang gumagamit ng mga top-level na domain gaya ng '.top' at '.com' upang mag-host ng mga domain na nakarehistro sa layunin para sa kanilang mga pag-atake sa phishing. Tinatayang isang-katlo ng mga domain na ito ay sinusuportahan ng Cloudflare, isang malawakang ginagamit na network ng paghahatid ng nilalaman at kumpanya ng seguridad sa Internet.
Umalis si Darcula sa Mga Itinatag na Channel at Paraan ng Phishing
Humiwalay si Darcula sa mga nakasanayang taktika na nakabatay sa SMS sa pamamagitan ng paggamit ng Rich Communication Services (RCS) para sa Android at iMessage para sa iOS upang magpadala ng mga mensaheng naglalaman ng mga link sa mga URL ng phishing sa mga biktima. Ang diskarte na ito ay nag-aalok ng ilang mga pakinabang, dahil ang mga tatanggap ay mas hilig na malasahan ang gayong mga komunikasyon bilang tunay, paglalagay ng tiwala sa mga karagdagang hakbang sa seguridad na likas sa RCS at iMessage, na hindi available sa SMS. Higit pa rito, dahil sa end-to-end na pag-encrypt na sinusuportahan ng RCS at iMessage, ang pagharang at pagharang sa mga mensahe ng phishing batay sa kanilang nilalaman ay nagiging hindi magagawa.
Ang mga kamakailang pagsisikap sa pambatasan sa buong mundo na naglalayong labanan ang cybercrime na nakabatay sa SMS sa pamamagitan ng pagharang sa mga kahina-hinalang mensahe ay malamang na nag-uudyok sa mga platform ng Phishing-as-a-Service (PaaS) na galugarin ang mga alternatibong protocol tulad ng RCS at iMessage. Gayunpaman, ang mga protocol na ito ay kasama ng kanilang sariling mga hanay ng mga hamon na dapat i-navigate ng mga cybercriminal.
Halimbawa, ang Apple ay nagpapataw ng mga paghihigpit sa mga account na nagpapadala ng malalaking volume ng mga mensahe sa maraming tatanggap. Kasabay nito, kamakailan ay ipinakilala ng Google ang isang limitasyon na pumipigil sa mga naka-root na Android device sa pagpapadala o pagtanggap ng mga mensahe ng RCS. Sinusubukan ng mga cybercriminal na iwasan ang mga hadlang na ito sa pamamagitan ng paglikha ng maraming Apple ID at paggamit ng mga device farm upang magpadala ng maliit na bilang ng mga mensahe mula sa bawat device.
Ang isang mas kakila-kilabot na balakid ay nakasalalay sa isang pananggalang ng iMessage na nagpapahintulot sa mga tatanggap na mag-click sa isang link ng URL pagkatapos lamang tumugon sa mensahe. Upang iwasan ang panukalang ito, sinenyasan ng mensahe ng phishing ang tatanggap na tumugon ng 'Y' o '1' bago muling buksan ang mensahe upang ma-access ang link. Ang karagdagang hakbang na ito ay maaaring magpakilala ng friction, na posibleng makabawas sa bisa ng phishing attack.
Paano Makikilala ang Phishing o Mga Kaduda-dudang Mensahe?
Napakahalaga para sa mga user na magpatibay ng isang maingat na diskarte sa anumang mga papasok na mensahe na mag-udyok sa kanila na mag-click sa mga URL, lalo na kung hindi pamilyar ang nagpadala. Ang mga aktor ng banta sa phishing ay patuloy na gumagawa ng mga bagong paraan ng paghahatid sa iba't ibang platform at application, na ginagawang mahalaga para sa mga user na manatiling mapagbantay. Pinapayuhan ng mga mananaliksik ang mga user na maging maingat sa mga senyales tulad ng maling grammar, mga pagkakamali sa spelling, sobrang nakakaakit na mga alok, o mga kahilingan para sa agarang pagkilos, dahil ang mga ito ay karaniwang mga taktika na ginagamit ng mga taktika sa phishing.
