Darcula Phishing Kit
'Darcula' olarak bilinen, yeni ortaya çıkan bir Hizmet Olarak Kimlik Avı (PaaS), saygın markaları taklit etmek ve 100'den fazla ülkedeki Android ve iPhone kullanıcılarından oturum açma kimlik bilgilerini çalmak için şaşırtıcı 20.000 alan adını kullanarak ortaya çıktı. Bu gelişmiş araç, posta, finans, devlet ve vergi departmanlarının yanı sıra telekomünikasyon şirketleri, havayolları ve hizmet sağlayıcılarını da kapsayan çok çeşitli hizmet ve kuruluşlara karşı kullanıldı. 200'den fazla şablondan oluşan geniş bir cephaneliğe sahiptir ve dolandırıcılara aldatıcı kampanyalarını uyarlamak için geniş bir seçim yelpazesi sunar.
Darcula'yı diğerlerinden ayıran şey, kimlik avı mesajlarını yaymak için geleneksel SMS'e güvenmek yerine Google Mesajlar ve iMessage gibi platformlar için Zengin İletişim Hizmetleri (RCS) protokolünü stratejik olarak kullanmasıdır. Bu yaklaşım, RCS'nin gelişmiş özelliklerinden yararlanarak saldırılarının etkinliğini artırır ve potansiyel olarak kimlik avı girişimlerinin başarı oranını artırır.
İçindekiler
Darcula Kimlik Avı Platformu Siber Suçlular Arasında İlgi Kazanıyor
Araştırmacılar, Darcula kimlik avı platformunun popülaritesinin artmasıyla birlikte siber suç alanında da yükselen bir trend gözlemledi. Bu platform, geçtiğimiz yıl boyunca Birleşik Krallık'taki hem Apple hem de Android cihaz kullanıcılarını hedef alan çok sayıda önemli kimlik avı saldırısına maruz kaldı ve aynı zamanda Amerika Birleşik Devletleri Posta Servisi'ni (USPS) taklit eden paket dolandırıcılıkları düzenledi. Geleneksel kimlik avı tekniklerinin aksine Darcula, JavaScript, React, Docker ve Harbor gibi modern teknolojilerden yararlanarak müşterilerin kimlik avı kitlerini yeniden yüklemesine gerek kalmadan sürekli güncellemeleri ve yeni özelliklerin kusursuz entegrasyonunu kolaylaştırır.
Darcula'nın sunduğu kimlik avı kiti, 100'den fazla ülkede marka ve kuruluşların kimliğine bürünmek için tasarlanmış 200 şablondan oluşan bir koleksiyondan oluşuyor. Bu şablonlar, doğru dil, logolar ve içerikle yerelleştirilmiş yüksek kaliteli açılış sayfalarına sahiptir.
Dolandırıcılar, bir kimlik avı kampanyası oluşturmak için, kimliğine bürünecek bir marka seçer ve ilgili kimlik avı sitesini yönetim paneliyle birlikte doğrudan Docker ortamına yükleyen bir kurulum komut dosyasını çalıştırır. Sistem, Docker görüntülerini barındırmak için açık kaynaklı konteyner kayıt defteri Harbor'ı kullanırken, kimlik avı sitelerinin kendisi de React kullanılarak geliştirilir.
Araştırmacılara göre Darcula hizmeti, kimlik avı saldırıları için amaca yönelik kayıtlı alanları barındırmak amacıyla genellikle '.top' ve '.com' gibi üst düzey alan adlarını kullanıyor. Bu alan adlarının yaklaşık üçte biri, yaygın olarak kullanılan bir içerik dağıtım ağı ve İnternet güvenliği şirketi olan Cloudflare tarafından desteklenmektedir.
Darcula Yerleşik Kimlik Avı Kanallarından ve Yöntemlerinden Uzaklaşıyor
Darcula, kurbanlara kimlik avı URL'lerine bağlantılar içeren mesajlar göndermek için Android için Zengin İletişim Hizmetleri'nden (RCS) ve iOS için iMessage'dan yararlanarak geleneksel SMS tabanlı taktiklerden uzaklaşıyor. Bu yaklaşım, alıcıların bu tür iletişimleri gerçek olarak algılamaya daha yatkın olmaları ve SMS'de bulunmayan RCS ve iMessage'ın doğasında bulunan ek güvenlik önlemlerine güvenmeleri nedeniyle çeşitli avantajlar sunmaktadır. Ayrıca RCS ve iMessage tarafından desteklenen uçtan uca şifreleme nedeniyle, kimlik avı mesajlarının içeriğine göre ele geçirilmesi ve engellenmesi mümkün olmuyor.
Şüpheli mesajları engelleyerek SMS tabanlı siber suçlarla mücadele etmeyi amaçlayan dünya çapındaki son yasal çabalar, muhtemelen Hizmet Olarak Kimlik Avı (PaaS) platformlarını RCS ve iMessage gibi alternatif protokolleri keşfetmeye teşvik ediyor. Ancak bu protokoller, siber suçluların aşması gereken kendi zorluklarını da beraberinde getiriyor.
Örneğin Apple, birden fazla alıcıya büyük miktarda mesaj gönderen hesaplara kısıtlamalar getiriyor. Aynı zamanda Google yakın zamanda root erişimli Android cihazların RCS mesajları göndermesini veya almasını engelleyen bir sınırlama getirdi. Siber suçlular, çok sayıda Apple kimliği oluşturarak ve her cihazdan az sayıda mesaj göndermek için cihaz çiftliklerini kullanarak bu kısıtlamaları aşmaya çalışıyor.
Daha zorlu bir engel, alıcıların yalnızca mesaja yanıt verdikten sonra bir URL bağlantısına tıklamalarına izin veren iMessage korumasında yatmaktadır. Bu önlemi aşmak için kimlik avı mesajı, alıcının bağlantıya erişmek için mesajı yeniden açmadan önce 'Y' veya '1' ile yanıt vermesini ister. Bu ek adım sürtüşmeye yol açarak kimlik avı saldırısının etkinliğini potansiyel olarak azaltabilir.
Kimlik Avı veya Şüpheli Mesajlar Nasıl Anlaşılır?
Kullanıcıların, özellikle de gönderenin tanıdık olmadığı durumlarda, kendilerini URL'lere tıklamaya yönlendiren gelen iletilere karşı dikkatli bir yaklaşım benimsemeleri çok önemlidir. Kimlik avı tehdidi aktörleri, çeşitli platformlar ve uygulamalarda sürekli olarak yeni dağıtım yöntemleri geliştirerek kullanıcıların dikkatli kalmasını zorunlu hale getiriyor. Araştırmacılar, kullanıcıların yanlış dilbilgisi, yazım hataları, aşırı cazip teklifler veya acil eylem talepleri gibi işaretlere karşı dikkatli olmalarını tavsiye ediyor; zira bunlar, kimlik avı taktikleri tarafından kullanılan yaygın taktiklerdir.
