Darcula Phishing Kit knyttet til kinesisk trusselskuespiller

Den kinesisk-drevne 'darcula'-platform, der er specialiseret i Phishing-as-a-Service (PhaaS) på det kinesiske sprog, retter sig aktivt mod organisationer på tværs af mere end 100 lande ved hjælp af sofistikerede metoder via et netværk af over 20.000 phishing-domæner.

'Darcula' er en avanceret Phishing-as-a-Service (PhaaS) platform, der bruger over 20.000 phishing-domæner til at lette cyberkriminelle i at lancere brandede phishing-kampagner. Til forskel fra konventionelle metoder anvender 'darcula' moderne teknologier som JavaScript, React, Docker og Harbor, der ligner dem, der bruges af højteknologiske startups.

Ved at udnytte iMessage og RCS til tekstkommunikation i stedet for SMS omgår 'darcula' SMS-firewalls effektivt, hvilket muliggør målrettede angreb på enheder som USPS og andre etablerede organisationer på tværs af 100+ lande. Disse angreb, kendt som 'smishing', involverer ofte beskeder om 'misste pakker' for at narre brugere til at give følsomme oplysninger under dække af lovlige posttjenester.

'Darcula'-platformen har været impliceret i adskillige højprofilerede phishing-hændelser, herunder svindel rettet mod både Apple- og Android-brugere i Storbritannien, såvel som svigagtige pakkeordninger, der efterligner United States Postal Service (USPS), som fik opmærksomhed på Reddits / r/phishing forum.

Operatører, der bruger 'darcula', distribuerer deres ondsindede URL'er primært gennem RCS og iMessage og udnytter den tillid, der er forbundet med disse platforme, mens de undgår visse netværksfiltre, der typisk blokerer svindel-SMS-beskeder.

Denne analyse dykker ned i mekanikken bag 'darcula' og fremhæver dens karakteristiske tilgang til phishing-kampagner, især gennem tekstbeskeder, og dens effektivitet til at udtrække kritiske data fra intetanende ofre.

Darcula tilbyder færdiglavede phishing-skabeloner

'Darcula' repræsenterer en betydelig aktør i cyberkriminalitetslandskabet og tilbyder en abonnementsbaseret model til andre kriminelle, så de nemt kan implementere phishing-websteder, der er målrettet mod en bred vifte af globale brands ved hjælp af hundredvis af skabeloner.

I modsætning til traditionelle phishing-sæt kan 'darcula' phishing-websteder problemfrit opdatere for at integrere nye funktioner og anti-detektionsforanstaltninger, hvilket sikrer vedvarende effektivitet i at undgå opdagelse og håndhævelse.

Platformen kan prale af understøttelse af cirka 200 phishing-skabeloner, der er skræddersyet til at udnytte tillid i forskellige brands, der spænder over 100 lande, hovedsageligt med fokus på posttjenester, men også rettet mod enheder, der er afhængige af forbrugertillid, såsom forsyningsselskaber, finansielle institutioner, offentlige agenturer, flyselskaber og telekommunikation virksomheder.

'Darcula' phishing-angreb anvender overvejende formålsregistrerede domæner, der ofte efterligner legitime mærkenavne, med populære topdomæner, herunder .top og .com. Cloudflare er et almindeligt infrastrukturvalg, der anbefales til maskering af server-IP-adresser sammen med Tencent, Quadranet og Multacom.

Over 20.000 domæner knyttet til Darcula

Netcraft har identificeret over 20.000 'darcula'-relaterede domæner på tværs af 11.000 IP-adresser, målrettet over 100 brands, med en gennemsnitlig registrering af 120 nye domæner, der hoster 'darcula' phishing-sider dagligt siden begyndelsen af 2024.

For at undgå overvågning og fjernelsesindsats viser 'darcula'-websteder typisk falske domænesalgs-/holdesider på deres frontend. Derudover anvender platformen anti-bot-foranstaltninger, der omdirigerer mistænkelige besøgende til Google-søgninger efter forskellige katteracer, hvilket afspejler dets kattetema-motiv.

I modsætning til konventionelle SMS-baserede phishing-angreb, bruger 'darcula' lokker overvejende RCS og iMessage og udnytter disse alternative kommunikationsprotokoller til deres bredere rækkevidde og forbedrede krypteringsmuligheder. Googles vedtagelse af RCS som standard meddelelsesprotokol i 2023 og Apples kommende support til RCS på iOS i 2024 forstærker yderligere effektiviteten af 'darculas' phishing-kampagner.