Το Darcula Phishing Kit συνδέεται με τον κινέζο ηθοποιό απειλών

Η πλατφόρμα «darcula» που λειτουργεί από την Κίνα και ειδικεύεται στο Phishing-as-a-Service (PhaaS) στην κινεζική γλώσσα, στοχεύει ενεργά οργανισμούς σε περισσότερες από 100 χώρες χρησιμοποιώντας εξελιγμένες μεθόδους μέσω ενός δικτύου με πάνω από 20.000 τομείς phishing.

Το «Darcula» είναι μια προηγμένη πλατφόρμα Phishing-as-a-Service (PhaaS), που χρησιμοποιεί πάνω από 20.000 τομείς phishing για να διευκολύνει τους εγκληματίες του κυβερνοχώρου να ξεκινήσουν επώνυμες καμπάνιες phishing. Διαφορετικά από τις συμβατικές μεθόδους, το «darcula» χρησιμοποιεί σύγχρονες τεχνολογίες όπως JavaScript, React, Docker και Harbor, παρόμοιες με αυτές που χρησιμοποιούνται από νεοσύστατες εταιρείες υψηλής τεχνολογίας.

Αξιοποιώντας το iMessage και το RCS για επικοινωνίες κειμένου αντί για SMS, το «darcula» παρακάμπτει αποτελεσματικά τα τείχη προστασίας SMS, επιτρέποντας στοχευμένες επιθέσεις σε οντότητες όπως το USPS και άλλους καθιερωμένους οργανισμούς σε 100+ χώρες. Αυτές οι επιθέσεις, γνωστές ως «smishing», συχνά περιλαμβάνουν μηνύματα σχετικά με «χαμένα πακέτα» για να παραπλανήσουν τους χρήστες να παρέχουν ευαίσθητες πληροφορίες υπό το πρόσχημα των νόμιμων ταχυδρομικών υπηρεσιών.

Η πλατφόρμα «darcula» έχει εμπλακεί σε πολυάριθμα περιστατικά phishing υψηλού προφίλ, συμπεριλαμβανομένων απατών που στοχεύουν τόσο χρήστες Apple όσο και Android στο Ηνωμένο Βασίλειο, καθώς και δόλια προγράμματα πακέτων που πλαστοπροσωπούν την Ταχυδρομική Υπηρεσία των Ηνωμένων Πολιτειών (USPS), η οποία κέρδισε την προσοχή στο Reddit / r/phishing φόρουμ.

Οι χειριστές που χρησιμοποιούν το «darcula» διανέμουν τις κακόβουλες διευθύνσεις URL τους κυρίως μέσω του RCS και του iMessage, εκμεταλλευόμενοι την εμπιστοσύνη που σχετίζεται με αυτές τις πλατφόρμες, ενώ αποφεύγουν ορισμένα φίλτρα δικτύου που συνήθως μπλοκάρουν τα απάτη μηνύματα SMS.

Αυτή η ανάλυση εμβαθύνει στη μηχανική του «darcula», τονίζοντας τη χαρακτηριστική προσέγγισή του στις εκστρατείες phishing, ιδιαίτερα μέσω μηνυμάτων κειμένου, και την αποτελεσματικότητά του στην εξαγωγή κρίσιμων δεδομένων από ανυποψίαστα θύματα.

Η Darcula προσφέρει έτοιμα πρότυπα phishing

Το "Darcula" αντιπροσωπεύει έναν σημαντικό παίκτη στο τοπίο του εγκλήματος στον κυβερνοχώρο, προσφέροντας ένα μοντέλο βασισμένο σε συνδρομή για άλλους εγκληματίες, ώστε να αναπτύσσουν εύκολα ιστότοπους phishing που στοχεύουν ένα ευρύ φάσμα παγκόσμιων εμπορικών σημάτων χρησιμοποιώντας εκατοντάδες πρότυπα.

Σε αντίθεση με τα παραδοσιακά κιτ phishing, οι ιστότοποι phishing «darcula» μπορούν να ενημερώνονται απρόσκοπτα για να ενσωματώσουν νέες δυνατότητες και μέτρα κατά της ανίχνευσης, διασφαλίζοντας διαρκή αποτελεσματικότητα στην αποφυγή των προσπαθειών εντοπισμού και επιβολής.

Η πλατφόρμα μπορεί να υπερηφανεύεται για υποστήριξη για περίπου 200 πρότυπα ηλεκτρονικού ψαρέματος, προσαρμοσμένα στην εκμετάλλευση της εμπιστοσύνης σε διάφορες επωνυμίες που καλύπτουν περισσότερες από 100 χώρες, εστιάζοντας κυρίως σε ταχυδρομικές υπηρεσίες αλλά και στοχεύοντας οντότητες που εξαρτώνται από την εμπιστοσύνη των καταναλωτών, όπως επιχειρήσεις κοινής ωφέλειας, χρηματοπιστωτικά ιδρύματα, κρατικές υπηρεσίες, αεροπορικές εταιρείες και τηλεπικοινωνίες εταιρείες.

Οι επιθέσεις phishing «Darcula» χρησιμοποιούν κυρίως τομείς που έχουν καταχωριστεί για τον σκοπό, συχνά μιμούμενοι νόμιμες επωνυμίες, με δημοφιλείς τομείς ανώτατου επιπέδου, συμπεριλαμβανομένων των .top και .com. Το Cloudflare είναι μια κοινή επιλογή υποδομής, που συνιστάται για την απόκρυψη διευθύνσεων IP διακομιστή, μαζί με τα Tencent, Quadranet και Multacom.

Πάνω από 20.000 τομείς που συνδέονται με το Darcula

Η Netcraft έχει εντοπίσει πάνω από 20.000 τομείς που σχετίζονται με «darcula» σε 11.000 διευθύνσεις IP, στοχεύοντας πάνω από 100 επωνυμίες, με μέσο ανίχνευση 120 νέων τομέων που φιλοξενούν σελίδες «ψαρέματος» «darcula» καθημερινά από τις αρχές του 2024.

Για να αποφύγουν τις προσπάθειες παρακολούθησης και κατάργησης, οι ιστότοποι "darcula" συνήθως εμφανίζουν ψεύτικες σελίδες πώλησης/διακράτησης τομέα στη διεπαφή τους. Επιπλέον, η πλατφόρμα χρησιμοποιεί μέτρα κατά των ρομπότ, ανακατευθύνοντας τους ύποπτους επισκέπτες στις αναζητήσεις της Google για διάφορες ράτσες γατών, αντικατοπτρίζοντας το μοτίβο της με θέμα τις γάτες.

Σε αντίθεση με τις συμβατικές επιθέσεις phishing που βασίζονται σε SMS, τα θέλγητρα «darcula» χρησιμοποιούν κατά κύριο λόγο το RCS και το iMessage, εκμεταλλευόμενοι αυτά τα εναλλακτικά πρωτόκολλα επικοινωνίας για την ευρύτερη εμβέλειά τους και τις βελτιωμένες δυνατότητες κρυπτογράφησης. Η υιοθέτηση του RCS από την Google ως το προεπιλεγμένο πρωτόκολλο ανταλλαγής μηνυμάτων το 2023 και η επερχόμενη υποστήριξη της Apple για το RCS στο iOS το 2024 ενισχύουν περαιτέρω την αποτελεσματικότητα των καμπανιών phishing της «darcula».