Darcula 網路釣魚套件

一種名為「Darcula」的新出現的網路釣魚即服務(PaaS) 已經浮出水面，它利用數量驚人的20,000 個網域來模仿知名品牌，並竊取主要來自100 多個國家的Android 和iPhone使用者的登入憑證。這種複雜的工具已被用於打擊郵政、金融、政府和稅務部門以及電信公司、航空公司和公用事業提供者等各種服務和組織。它擁有超過 200 個模板的廣泛庫，為欺詐者提供了廣泛的選擇來定制他們的欺騙活動。

Darcula 的與眾不同之處在於它對 Google Messages 和 iMessage 等平台的豐富通訊服務 (RCS) 協定進行了策略性利用，而不是依賴傳統的 SMS 來傳播網路釣魚訊息。這種方法透過利用 RCS 的增強功能來提高攻擊效率，從而可能提高網路釣魚嘗試的成功率。

Darcula 網路釣魚平台正在吸引網路犯罪分子的關注

研究人員觀察到，隨著 Darcula 網路釣魚平台的日益普及，網路犯罪領域呈現上升趨勢。在過去的一年裡，該平台涉及多起著名的網路釣魚攻擊，針對英國的 Apple 和 Android 設備用戶，以及策劃冒充美國郵政服務 (USPS) 的包裹詐騙。與傳統的網路釣魚技術相比，Darcula 利用 JavaScript、React、Docker 和 Harbor 等現代技術，促進持續更新和新功能的無縫集成，而無需客戶重新安裝網路釣魚工具包。

Darcula 提供的網路釣魚工具包包含 200 個模板，旨在冒充 100 多個國家的品牌和組織。這些模板具有高品質的登陸頁面，並使用準確的語言、徽標和內容進行了在地化。

為了發起網路釣魚活動，詐騙者會選擇一個品牌來模擬並執行安裝腳本，該腳本會將相應的網路釣魚網站及其管理儀表板直接安裝到 Docker 環境中。該系統使用開源容器註冊表Harbor來託管Docker映像，而釣魚網站本身是使用React開發的。

研究人員表示，Darcula 服務通常利用「.top」和「.com」等頂級網域來託管用於網路釣魚攻擊的專用註冊網域。其中約三分之一的網域由廣泛使用的內容交付網路和網路安全公司 Cloudflare 支援。

Darcula 放棄既定的網路釣魚管道和方法

Darcula 打破了傳統的基於簡訊的策略，利用 Android 的豐富通訊服務 (RCS) 和 iOS 的 iMessage 向受害者發送包含網路釣魚 URL 連結的訊息。這種方法具有多種優勢，因為接收者更傾向於將此類通訊視為真實的，從而信任 RCS 和 iMessage 中固有的附加安全措施，而這些措施在 SMS 中是不可用的。此外，由於RCS和iMessage支援端對端加密，根據內容攔截和阻止網路釣魚訊息變得不可行。

全球範圍內最近旨在透過阻止可疑訊息來打擊基於簡訊的網路犯罪的立法努力可能會促使網路釣魚即服務 (PaaS) 平台探索 RCS 和 iMessage 等替代協議。然而，這些協議也帶來了網路犯罪分子必須應對的一系列挑戰。

例如，Apple 會對向多個收件者發送大量訊息的帳戶施加限制。同時，Google最近引入了一項限制，阻止已取得 root 權限的 Android 裝置發送或接收 RCS 訊息。網路犯罪分子試圖透過創建大量 Apple ID 並利用裝置群從每個裝置發送少量訊息來規避這些限制。

更可怕的障礙在於 iMessage 安全措施，該安全措施允許收件人僅在回覆訊息後才能點擊 URL 連結。為了規避此措施，網路釣魚郵件會提示收件者回覆“Y”或“1”，然後重新開啟郵件以存取連結。這一額外步驟可能會帶來摩擦，可能會降低網路釣魚攻擊的效率。

如何辨識網路釣魚或可疑訊息？

對於使用者來說，對任何提示他們點擊 URL 的傳入訊息採取謹慎的態度至關重要，尤其是在寄件者不熟悉的情況下。網路釣魚威脅行為者在各種平台和應用程式中不斷創新新的傳遞方法，因此用戶必須保持警惕。研究人員建議使用者警惕語法錯誤、拼字錯誤、過於誘人的優惠或要求立即採取行動等跡象，因為這些是網路釣魚策略所採用的常見策略。