Un nou serviciu de phishing numit ‘Darcula’ folosește 20.000 de domenii pentru a falsifica mărci și a fura date de autentificare de la utilizatorii de Android și iPhone din peste 100 de țări.
Darcula a fost folosit împotriva diferitelor servicii și organizații, de la departamente poștale, financiare, guvernamentale, de impozite, până la companii de telecomunicații, companii aeriene, utilități, oferind infractorilor peste 200 de șabloane din care să aleagă.
Un lucru care face ca serviciul să iasă în evidență este că se apropie de ținte folosind protocolul Rich Communication Services (RCS) pentru Google Messages și iMessage, în loc de SMS pentru trimiterea mesajelor de phishing.
Darcula a fost documentat pentru prima dată vara trecută de cercetătorul de securitate Oshri Kalfon, dar analiștii Netcraft raportează că platforma devine din ce în ce mai populară în spațiul cybercrime și a fost recent folosită în mai multe cazuri de înalt profil.
Spre deosebire de metodele tradiționale de phishing, Darcula folosește tehnologii moderne precum JavaScript, React, Docker și Harbor, permițând actualizări continue și adăugarea de noi funcționalități fără ca clienții să aibă nevoie să reinstaleze kiturile de phishing.
Kitul de phishing oferă 200 de șabloane de phishing care se dau drept mărci și organizații din peste 100 de țări. Paginile de aterizare sunt de înaltă calitate și folosesc limba locală corectă, logourile și conținutul corect.
Fraudatorii selectează o marcă de imitat și rulează un script de configurare care instalează site-ul de phishing corespunzător și tabloul de bord de gestionare direct într-un mediu Docker.
Sistemul folosește registrul de containere open-source Harbor pentru a găzdui imaginea Docker, în timp ce site-urile de phishing sunt dezvoltate folosind React.
Cercetătorii spun că serviciul Darcula folosește în mod tipic domenii de nivel superior „.top” și „.com” pentru a găzdui domenii înregistrate în scopuri de phishing, în timp ce aproximativ o treime dintre acestea sunt susținute de Cloudflare.
Netcraft a mapat 20.000 de domenii Darcula pe 11.000 de adrese IP, cu 120 de domenii noi adăugate zilnic.
Darcula se deosebește de tactici bazate pe SMS tradiționale și în schimb folosește RCS (Android) și iMessage (iOS) pentru a trimite victimele mesaje cu linkuri către URL-ul de phishing.
Avantajul este că destinatarii sunt mai susceptibili să perceapă comunicarea ca fiind legitimă, încredințându-se măsurilor suplimentare de securitate care nu sunt disponibile în SMS.
Mai mult, deoarece RCS și iMessage susțin criptarea end-to-end, este imposibil să interceptați și să blocați mesajele de phishing pe baza conținutului lor.
Netcraft comentează că eforturile legislative globale recente menite să reducă cybercrime-ul bazat pe SMS prin blocarea mesajelor suspecte probabil că împing platformele PhaaS către protocoale alternative precum RCS și iMessage.
Cu toate acestea, aceste protocoale vin cu propriile lor seturi de restricții pe care infractorii cibernetici trebuie să le depășească.
De exemplu, Apple interzice conturile care trimit volume mari de mesaje către mai mulți destinatari, iar Google a implementat recent o restricție care împiedică dispozitivele Android rootate să trimită sau să primească mesaje RCS.
Infractorii cibernetici încearcă să treacă peste aceste limitări prin crearea mai multor ID-uri Apple și utilizarea unor ferme de dispozitive pentru a trimite un număr mic de mesaje de la fiecare dispozitiv.
Un obstacol mai dificil este o măsură de protecție în iMessage care permite doar destinatarilor să facă clic pe un link URL dacă au răspuns la mesaj.
Pentru a ocoli această măsură, mesajul de phishing instruiește destinatarul să răspundă cu un „Y” sau „1” și apoi să redeschidă mesajul pentru a urma linkul. Acest proces poate crea fricțiune care ar putea reduce eficacitatea atacului de phishing.
Utilizatorii ar trebui să trateze cu suspiciune toate mesajele primite care îi îndeamnă să facă clic pe URL-uri, în special dacă expeditorul nu este recunoscut. Indiferent de platformă sau aplicație, actorii de amenințare prin phishing vor continua să experimenteze cu noi metode de livrare.
Cercetătorii Netcraft recomandă, de asemenea, să acordați atenție la gramatica incorectă, erorile de ortografie, ofertele excesiv de atractive sau apelurile la acțiuni urgente.
Leave a Reply