Darcula 网络钓鱼工具包

一种名为“Darcula”的新出现的网络钓鱼即服务 (PaaS) 已经浮出水面，它利用数量惊人的 20,000 个域名来模仿知名品牌，并窃取主要来自 100 多个国家/地区的 Android 和 iPhone 用户的登录凭据。这种复杂的工具已被用于打击邮政、金融、政府和税务部门以及电信公司、航空公司和公用事业提供商等各种服务和组织。它拥有超过 200 个模板的广泛库，为欺诈者提供了广泛的选择来定制他们的欺骗活动。

Darcula 的与众不同之处在于它对 Google Messages 和 iMessage 等平台的丰富通信服务 (RCS) 协议进行了战略性利用，而不是依赖传统的 SMS 来传播网络钓鱼消息。这种方法通过利用 RCS 的增强功能来提高攻击效率，从而可能提高网络钓鱼尝试的成功率。

Darcula 网络钓鱼平台正在吸引网络犯罪分子的关注

研究人员观察到，随着 Darcula 网络钓鱼平台的日益普及，网络犯罪领域呈上升趋势。在过去的一年里，该平台涉及多起著名的网络钓鱼攻击，针对英国的 Apple 和 Android 设备用户，以及策划冒充美国邮政服务 (USPS) 的包裹诈骗。与传统的网络钓鱼技术相比，Darcula 利用 JavaScript、React、Docker 和 Harbor 等现代技术，促进持续更新和新功能的无缝集成，而无需客户重新安装网络钓鱼工具包。

Darcula 提供的网络钓鱼工具包包含 200 个模板，旨在冒充 100 多个国家的品牌和组织。这些模板具有高质量的登陆页面，并使用准确的语言、徽标和内容进行了本地化。

为了发起网络钓鱼活动，欺诈者会选择一个品牌来模拟并执行安装脚本，该脚本会将相应的网络钓鱼站点及其管理仪表板直接安装到 Docker 环境中。该系统使用开源容器注册表Harbor来托管Docker镜像，而钓鱼网站本身是使用React开发的。

研究人员表示，Darcula 服务通常利用“.top”和“.com”等顶级域名来托管用于网络钓鱼攻击的专用注册域名。其中大约三分之一的域由广泛使用的内容交付网络和互联网安全公司 Cloudflare 支持。

Darcula 放弃既定的网络钓鱼渠道和方法

Darcula 打破了传统的基于短信的策略，利用 Android 的丰富通信服务 (RCS) 和 iOS 的 iMessage 向受害者发送包含网络钓鱼 URL 链接的消息。这种方法具有多种优势，因为接收者更倾向于将此类通信视为真实的，从而信任 RCS 和 iMessage 中固有的附加安全措施，而这些措施在 SMS 中是不可用的。此外，由于RCS和iMessage支持端到端加密，根据内容拦截和阻止网络钓鱼消息变得不可行。

全球范围内最近旨在通过阻止可疑消息来打击基于短信的网络犯罪的立法努力可能会促使网络钓鱼即服务 (PaaS) 平台探索 RCS 和 iMessage 等替代协议。然而，这些协议也带来了网络犯罪分子必须应对的一系列挑战。

例如，Apple 对向多个收件人发送大量消息的帐户施加限制。与此同时，谷歌最近引入了一项限制，阻止已取得 root 权限的 Android 设备发送或接收 RCS 消息。网络犯罪分子试图通过创建大量 Apple ID 并利用设备群从每台设备发送少量消息来规避这些限制。

更可怕的障碍在于 iMessage 安全措施，该安全措施允许收件人仅在回复消息后才能单击 URL 链接。为了规避此措施，网络钓鱼邮件会提示收件人回复“Y”或“1”，然后重新打开邮件以访问链接。这一额外步骤可能会带来摩擦，从而可能降低网络钓鱼攻击的效率。

如何识别网络钓鱼或可疑消息？

对于用户来说，对任何提示他们点击 URL 的传入消息采取谨慎的态度至关重要，尤其是在发件人不熟悉的情况下。网络钓鱼威胁行为者在各种平台和应用程序中不断创新新的传递方法，因此用户必须保持警惕。研究人员建议用户警惕语法错误、拼写错误、过于诱人的优惠或要求立即采取行动等迹象，因为这些是网络钓鱼策略所采用的常见策略。