Darcula Phishing Kit
Một dịch vụ lừa đảo (PaaS) mới nổi có tên là 'Darcula' đã xuất hiện, sử dụng 20.000 tên miền đáng kinh ngạc để bắt chước các thương hiệu có uy tín và lấy cắp thông tin đăng nhập chủ yếu từ người dùng Android và iPhone trên hơn 100 quốc gia. Công cụ tinh vi này đã được sử dụng để chống lại một loạt các dịch vụ và tổ chức bao gồm các cơ quan bưu chính, tài chính, chính phủ và thuế cũng như các công ty viễn thông, hãng hàng không và nhà cung cấp dịch vụ tiện ích. Nó tự hào có một kho vũ khí phong phú gồm hơn 200 mẫu, cung cấp cho những kẻ lừa đảo nhiều lựa chọn để điều chỉnh các chiến dịch lừa đảo của chúng.
Điều khiến Darcula trở nên khác biệt là việc sử dụng chiến lược giao thức Dịch vụ truyền thông đa dạng (RCS) cho các nền tảng như Google Messages và iMessage thay vì dựa vào SMS truyền thống để phổ biến tin nhắn lừa đảo. Cách tiếp cận này nâng cao hiệu quả của các cuộc tấn công bằng cách tận dụng các khả năng nâng cao của RCS, có khả năng tăng tỷ lệ thành công của các nỗ lực lừa đảo.
Mục lục
Nền tảng lừa đảo Darcula đang thu hút được sự chú ý của tội phạm mạng
Các nhà nghiên cứu đã quan sát thấy xu hướng gia tăng trong lĩnh vực tội phạm mạng với sự phổ biến ngày càng tăng của nền tảng lừa đảo Darcula. Nền tảng này đã dính líu đến nhiều cuộc tấn công lừa đảo nổi bật trong năm qua, nhắm mục tiêu vào người dùng thiết bị Apple và Android ở Vương quốc Anh, cũng như dàn dựng các gói lừa đảo mạo danh Dịch vụ Bưu chính Hoa Kỳ (USPS). Ngược lại với các kỹ thuật lừa đảo truyền thống, Darcula tận dụng các công nghệ hiện đại như JavaScript, React, Docker và Harbor, tạo điều kiện cập nhật liên tục và tích hợp liền mạch các tính năng mới mà không yêu cầu khách hàng cài đặt lại bộ công cụ lừa đảo.
Bộ công cụ lừa đảo do Darcula cung cấp bao gồm một bộ sưu tập gồm 200 mẫu được thiết kế để mạo danh các thương hiệu và tổ chức trên hơn 100 quốc gia. Các mẫu này có các trang đích chất lượng cao được bản địa hóa với ngôn ngữ, biểu trưng và nội dung chính xác.
Để thiết lập chiến dịch lừa đảo, những kẻ lừa đảo chọn một thương hiệu để mạo danh và thực thi tập lệnh thiết lập, tập lệnh này sẽ cài đặt trang web lừa đảo tương ứng cùng với bảng điều khiển quản lý của trang web đó trực tiếp vào môi trường Docker. Hệ thống này sử dụng Harbor đăng ký vùng chứa nguồn mở để lưu trữ hình ảnh Docker, trong khi bản thân các trang web lừa đảo được phát triển bằng React.
Theo các nhà nghiên cứu, dịch vụ Darcula thường sử dụng các tên miền cấp cao nhất như '.top' và '.com' để lưu trữ các tên miền được đăng ký có mục đích cho các cuộc tấn công lừa đảo của chúng. Khoảng một phần ba trong số các miền này được hỗ trợ bởi Cloudflare, một công ty bảo mật Internet và mạng phân phối nội dung được sử dụng rộng rãi.
Darcula tránh xa các kênh và phương thức lừa đảo đã được thiết lập
Darcula thoát khỏi các chiến thuật dựa trên SMS thông thường bằng cách tận dụng Dịch vụ liên lạc đa dạng (RCS) dành cho Android và iMessage dành cho iOS để gửi tin nhắn chứa liên kết đến URL lừa đảo tới nạn nhân. Cách tiếp cận này mang lại một số lợi ích, vì người nhận có xu hướng coi những thông tin liên lạc đó là chân thực hơn, đặt niềm tin vào các biện pháp bảo mật bổ sung vốn có trong RCS và iMessage, vốn không có trong SMS. Hơn nữa, do mã hóa đầu cuối được hỗ trợ bởi RCS và iMessage, việc chặn và chặn các tin nhắn lừa đảo dựa trên nội dung của chúng trở nên không khả thi.
Những nỗ lực lập pháp gần đây trên toàn thế giới nhằm chống lại tội phạm mạng dựa trên SMS bằng cách chặn các tin nhắn đáng ngờ có thể đang thúc đẩy các nền tảng Phishing-as-a-Service (PaaS) khám phá các giao thức thay thế như RCS và iMessage. Tuy nhiên, các giao thức này đi kèm với những thách thức riêng mà tội phạm mạng phải vượt qua.
Chẳng hạn, Apple áp đặt các hạn chế đối với các tài khoản gửi khối lượng lớn tin nhắn đến nhiều người nhận. Đồng thời, Google gần đây đã đưa ra một hạn chế ngăn chặn các thiết bị Android đã root gửi hoặc nhận tin nhắn RCS. Tội phạm mạng cố gắng vượt qua những hạn chế này bằng cách tạo nhiều ID Apple và sử dụng các trang trại thiết bị để gửi một số lượng nhỏ tin nhắn từ mỗi thiết bị.
Một trở ngại lớn hơn nằm ở biện pháp bảo vệ iMessage cho phép người nhận chỉ nhấp vào liên kết URL sau khi trả lời tin nhắn. Để phá vỡ biện pháp này, tin nhắn lừa đảo sẽ nhắc người nhận trả lời bằng 'Y' hoặc '1' trước khi mở lại tin nhắn để truy cập liên kết. Bước bổ sung này có thể gây ra xích mích, có khả năng làm giảm hiệu quả của cuộc tấn công lừa đảo.
Làm thế nào để nhận biết tin nhắn lừa đảo hoặc đáng ngờ?
Điều quan trọng là người dùng phải áp dụng cách tiếp cận thận trọng đối với bất kỳ thư đến nào nhắc họ nhấp vào URL, đặc biệt nếu người gửi không quen thuộc. Các tác nhân đe dọa lừa đảo liên tục đổi mới các phương thức phân phối mới trên nhiều nền tảng và ứng dụng khác nhau, khiến người dùng phải luôn cảnh giác. Các nhà nghiên cứu khuyên người dùng nên cảnh giác với các dấu hiệu như sai ngữ pháp, lỗi chính tả, lời đề nghị quá lôi cuốn hoặc yêu cầu hành động ngay lập tức vì đây là những chiến thuật phổ biến được sử dụng bởi các chiến thuật lừa đảo.
