Darcula Phishing Kit
З’явилася нещодавно з’явилася служба «Фішинг як послуга» (PaaS), відома як «Darcula», яка використовує приголомшливі 20 000 доменів для імітації авторитетних брендів і крадіжки облікових даних для входу переважно в користувачів Android і iPhone у понад 100 країнах. Цей складний інструмент застосовувався проти різноманітних служб і організацій, включаючи поштові, фінансові, державні та податкові департаменти, а також телекомунікаційні компанії, авіакомпанії та постачальників комунальних послуг. Він може похвалитися широким арсеналом із понад 200 шаблонів, що надає шахраям широкий вибір для адаптації своїх шахрайських кампаній.
Що відрізняє Darcula від інших, так це його стратегічне використання протоколу Rich Communication Services (RCS) для таких платформ, як Google Messages та iMessage, замість використання традиційних SMS для розповсюдження фішингових повідомлень. Цей підхід підвищує ефективність атак, використовуючи розширені можливості RCS, потенційно збільшуючи рівень успіху спроб фішингу.
Зміст
Фішингова платформа Darcula набирає популярності серед кіберзлочинців
Дослідники помітили тенденцію до зростання кіберзлочинності зі зростанням популярності фішингової платформи Darcula. Ця платформа була причетна до численних видатних фішингових атак протягом останнього року, націлених на користувачів пристроїв Apple і Android у Великобританії, а також до організації шахрайства з пакетами, видаючи себе за Поштову службу США (USPS). На відміну від традиційних методів фішингу, Darcula використовує сучасні технології, такі як JavaScript, React, Docker і Harbor, сприяючи безперервному оновленню та бездоганній інтеграції нових функцій, не вимагаючи від клієнтів перевстановлювати набори для фішингу.
Набір для фішингу, запропонований Darcula, містить колекцію з 200 шаблонів, призначених для імітації брендів і організацій у понад 100 країнах. Ці шаблони містять високоякісні цільові сторінки, локалізовані з точною мовою, логотипами та вмістом.
Щоб налаштувати фішингову кампанію, шахраї вибирають бренд для імітації та виконують сценарій налаштування, який встановлює відповідний фішинговий сайт разом із його панеллю керування безпосередньо в середовищі Docker. Система використовує відкритий реєстр контейнерів Harbor для розміщення зображень Docker, а самі фішингові сайти розроблені за допомогою React.
За словами дослідників, служба Darcula зазвичай використовує домени верхнього рівня, такі як «.top» і «.com», щоб розмістити спеціально зареєстровані домени для своїх фішингових атак. Приблизно одна третина цих доменів підтримується Cloudflare, широко використовуваною мережею доставки вмісту та компанією з безпеки в Інтернеті.
Darcula відходить від усталених каналів і методів фішингу
Darcula відходить від традиційної тактики на основі SMS, використовуючи Rich Communication Services (RCS) для Android і iMessage для iOS, щоб надсилати жертвам повідомлення, що містять посилання на фішингові URL-адреси. Цей підхід має кілька переваг, оскільки одержувачі більш схильні сприймати такі повідомлення як справжні, довіряючи додатковим заходам безпеки, властивим RCS та iMessage, які недоступні в SMS. Крім того, через наскрізне шифрування, яке підтримується RCS та iMessage, перехоплення та блокування фішингових повідомлень на основі їх вмісту стає неможливим.
Недавні законодавчі дії в усьому світі, спрямовані на боротьбу з кіберзлочинністю на основі SMS шляхом блокування підозрілих повідомлень, ймовірно, спонукають платформи Phishing-as-a-Service (PaaS) до вивчення альтернативних протоколів, таких як RCS та iMessage. Однак ці протоколи мають свої власні набори проблем, з якими кіберзлочинці повинні орієнтуватися.
Наприклад, Apple накладає обмеження на облікові записи, які надсилають великі обсяги повідомлень кільком одержувачам. У той же час Google нещодавно ввів обмеження, яке не дозволяє пристроям Android з рутованим доступом надсилати або отримувати повідомлення RCS. Кіберзлочинці намагаються обійти ці обмеження, створюючи численні Apple ID і використовуючи ферми пристроїв для надсилання невеликої кількості повідомлень з кожного пристрою.
Більш серйозною перешкодою є захист iMessage, який дозволяє одержувачам натискати URL-посилання лише після відповіді на повідомлення. Щоб обійти цей захід, фішингове повідомлення пропонує одержувачу відповісти «Y» або «1», перш ніж повторно відкрити повідомлення для доступу за посиланням. Цей додатковий крок може спричинити тертя, потенційно зменшивши ефективність фішингової атаки.
Як розпізнати фішингові або сумнівні повідомлення?
Дуже важливо, щоб користувачі обережно ставилися до будь-яких вхідних повідомлень, які спонукають їх натиснути URL-адреси, особливо якщо відправник незнайомий. Фішингові загрози постійно впроваджують нові методи доставки на різних платформах і програмах, тому користувачам важливо залишатися пильними. Дослідники радять користувачам бути обережними з такими ознаками, як неправильна граматика, орфографічні помилки, занадто привабливі пропозиції або вимоги негайної дії, оскільки це звичайна тактика тактики фішингу.
