Un nou phishing-as-a-service (PhaaS) numit „Darcula”, un serviciu de „închiriat” instrumente de hacking, folosește 20.000 de domenii pentru a falsifica mărcile și a fura acreditările utilizatorilor de Android și iPhone din peste 100 de țări raportează BleepingComputer.
Darcula a fost folosit împotriva diferitelor servicii și organizații, de la departamentele poștale, financiare, guvernamentale, fiscale, până la companii de telecomunicații, companii aeriene și de utilități, oferind infractorilor cibernetici peste 200 de șabloane din care să aleagă.
Un lucru care face ca serviciul să iasă în evidență este că abordează ținte folosind protocolul Rich Communication Services (RCS) pentru Google Messages și iMessage în loc de SMS-uri pentru trimiterea de mesaje de phishing.
Darcula a fost documentată pentru prima dată vara trecută de cercetătorul în securitate Oshri Kalfon, dar analiștii Netcraft raportează că platforma a devenit din ce în ce mai populară în spațiul criminalității cibernetice și a fost folosită recent în mai multe cazuri importante.
„Platforma Darcula a fost folosită pentru numeroase atacuri de phishing de mare profil în ultimul an, inclusiv mesaje primite atât pe dispozitivele Apple, cât și pe dispozitivele Android din Marea Britanie, precum și pentru înșelătorii legate de servicii de curierat, unde se fura identitatea angajaților Serviciului Poștal al Statelor Unite (USPS), evidențiate în numeroase postări pe /r/phishing-ul Reddit.” – Netcraft
Spre deosebire de metodele tradiționale de phishing, Darcula folosește tehnologii moderne precum JavaScript, React, Docker și Harbour, permițând actualizări continue și adăugări de noi funcții fără ca clienții să fie nevoiți să reinstaleze kiturile de phishing.
Setul de phishing oferă 200 de șabloane de phishing care fură identitatea mărcilor și organizațiilor din peste 100 de țări. Paginile de destinație sunt de înaltă calitate și folosesc limba, siglele și conținutul local corecte.
Escrocii selectează o marcă pentru a uzurpa identitatea și rulează un script de configurare care instalează site-ul de phishing corespunzător și tabloul de bord de gestionare direct într-un mediu Docker.
Sistemul folosește registrul de containere open-source Harbour pentru a găzdui imaginea Docker, în timp ce site-urile de phishing sunt dezvoltate folosind React.
Cercetătorii spun că serviciul Darcula utilizează de obicei domeniile de nivel superior „.top” și „.com” pentru a găzdui domenii înregistrate pentru atacurile de phishing, în timp ce aproximativ o treime dintre acestea sunt susținute de Cloudflare.
Netcraft a mapat 20.000 de domenii Darcula pe 11.000 de adrese IP, 120 de noi domenii fiind adăugate zilnic.
Darcula se abate de la tacticile tradiționale bazate pe SMS și utilizează în schimb RCS (Android) și iMessage (iOS) pentru a trimite victimelor mesaje cu link-uri către adresa URL de phishing.
Avantajul acestui lucru este că destinatarii sunt mai susceptibili de a percepe comunicarea ca fiind legitimă, având încredere în garanțiile suplimentare care nu sunt disponibile în SMS.
În plus, deoarece RCS și iMessage acceptă criptarea end-to-end, este imposibilă să interceptarea și blocarea mesajelor de phishing pe baza conținutului lor.
Netcraft comentează că eforturile recente de legislație globală care vizează reducerea criminalității cibernetice bazate pe SMS prin blocarea mesajelor suspecte împing probabil platformele PhaaS către protocoale alternative, cum ar fi RCS și iMessage.
Cu toate acestea, aceste protocoale vin cu propriile seturi de restricții pe care infractorii cibernetici trebuie să le depășească.
De exemplu, Apple interzice conturile care trimit volume mari de mesaje către mai mulți destinatari, iar Google a implementat recent o restricție care împiedică dispozitivele Android deblocate (jailbreak) să trimită sau să primească mesaje RCS.
Infractorii cibernetici încearcă să depășească aceste limitări creând mai multe ID-uri Apple și folosind ferme de dispozitive pentru a trimite un număr mic de mesaje de pe fiecare dispozitiv.
Un obstacol mai provocator este o protecție în iMessage care permite destinatarilor să facă clic pe un link URL numai dacă au răspuns la mesaj.
Mesajele recente de phishing pe mobil îi instruiesc pe destinatar să răspundă cu „Y” sau „1” și apoi redeschide mesajul pentru a urma linkul. Acest proces poate crea integrațiuni care ar putea reduce eficacitatea atacului de phishing.
Utilizatorii ar trebui să trateze toate mesajele primite îndemnându-i să facă clic pe URL-uri cu suspiciune, mai ales dacă expeditorul nu este recunoscut. Indiferent de platformă sau aplicație, infractorii care folosesc phishing vor continua să experimenteze cu noi metode de livrare.
Cercetătorii Netcraft recomandă, de asemenea, să acordați atenție gramaticii inexacte, greșelilor de ortografie, ofertelor excesiv de atractive sau apelurilor la acțiuni urgente.
Când primiți un mesaj pe dispozitivul dvs. care vă îndeamnă să urmați un link încorporat sau să răspundeți la mesaj, pur și simplu ignorați-l. În schimb, conectați-vă direct la serviciul real, pe calea utilizată în mod normal, uzual și verificați dacă există alerte sau facturi în așteptare.
