Kit de phishing Darcula lié à un acteur menaçant chinois

La plateforme chinoise « darcula », spécialisée dans le Phishing-as-a-Service (PhaaS) en langue chinoise, cible activement des organisations dans plus de 100 pays en utilisant des méthodes sophistiquées via un réseau de plus de 20 000 domaines de phishing.

« Darcula » est une plate-forme Phishing-as-a-Service (PhaaS) avancée, utilisant plus de 20 000 domaines de phishing pour aider les cybercriminels à lancer des campagnes de phishing de marque. Contrairement aux méthodes conventionnelles, « darcula » utilise des technologies modernes telles que JavaScript, React, Docker et Harbor, semblables à celles utilisées par les startups de haute technologie.

En exploitant iMessage et RCS pour les communications textuelles au lieu des SMS, « darcula » contourne efficacement les pare-feu SMS, permettant ainsi des attaques ciblées contre des entités telles que l'USPS et d'autres organisations établies dans plus de 100 pays. Ces attaques, connues sous le nom de « smishing », impliquent souvent des messages concernant des « colis manqués » pour inciter les utilisateurs à fournir des informations sensibles sous couvert de services postaux légitimes.

La plate-forme « darcula » a été impliquée dans de nombreux incidents de phishing très médiatisés, notamment des escroqueries ciblant à la fois les utilisateurs d'Apple et d'Android au Royaume-Uni, ainsi que des systèmes de colis frauduleux usurpant l'identité du service postal des États-Unis (USPS), qui ont attiré l'attention sur Reddit. forum r/hameçonnage.

Les opérateurs utilisant « darcula » distribuent leurs URL malveillantes principalement via RCS et iMessage, exploitant la confiance associée à ces plates-formes tout en évitant certains filtres réseau qui bloquent généralement les messages SMS frauduleux.

Cette analyse se penche sur les mécanismes de « darcula », mettant en évidence son approche distinctive des campagnes de phishing, notamment par le biais de messages texte, et son efficacité à extraire des données critiques de victimes sans méfiance.

Darcula propose des modèles de phishing prêts à l'emploi

« Darcula » représente un acteur important dans le paysage de la cybercriminalité, proposant un modèle par abonnement permettant à d'autres criminels de déployer facilement des sites de phishing ciblant un large éventail de marques mondiales à l'aide de centaines de modèles.

Contrairement aux kits de phishing traditionnels, les sites Web de phishing « darcula » peuvent être mis à jour de manière transparente pour intégrer de nouvelles fonctionnalités et mesures anti-détection, garantissant ainsi une efficacité durable pour échapper aux efforts de détection et d'application des lois.

La plateforme prend en charge environ 200 modèles de phishing, conçus pour exploiter la confiance dans diverses marques réparties dans plus de 100 pays, se concentrant principalement sur les services postaux mais ciblant également les entités qui dépendent de la confiance des consommateurs, telles que les services publics, les institutions financières, les agences gouvernementales, les compagnies aériennes et les télécommunications. entreprises.

Les attaques de phishing « Darcula » utilisent principalement des domaines enregistrés à cet effet, imitant souvent des noms de marques légitimes, avec des domaines de premier niveau populaires, notamment .top et .com. Cloudflare est un choix d'infrastructure courant, recommandé pour masquer les adresses IP des serveurs, aux côtés de Tencent, Quadranet et Multacom.

Plus de 20 000 domaines liés à Darcula

Netcraft a identifié plus de 20 000 domaines liés à « darcula » sur 11 000 adresses IP, ciblant plus de 100 marques, avec une détection moyenne de 120 nouveaux domaines hébergeant quotidiennement des pages de phishing « darcula » depuis début 2024.

Pour échapper aux efforts de surveillance et de retrait, les sites « darcula » affichent généralement de fausses pages de vente/détention de domaines sur leur front-end. De plus, la plate-forme utilise des mesures anti-bot, redirigeant les visiteurs suspects vers des recherches Google sur diverses races de chats, reflétant son thème sur le thème des chats.

Contrairement aux attaques de phishing classiques basées sur SMS, les leurres « darcula » utilisent principalement RCS et iMessage, exploitant ces protocoles de communication alternatifs pour leur portée plus large et leurs capacités de cryptage améliorées. L'adoption par Google du RCS comme protocole de messagerie par défaut en 2023 et la prise en charge prochaine par Apple du RCS sur iOS en 2024 amplifient encore l'efficacité des campagnes de phishing de « darcula ».

Par Zaib
March 28, 2024
Computer Security
Français
March 28, 2024
Computer Security

Articles Populaires

Qu’est-ce que Cdmx Ransomware ?

Il y a 3 months

Arnaque Jegdex

Il y a 14 days

Softcnapp Application potentiellement indésirable

Il y a 2 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 8 months

Détection des logiciels malveillants Trojan Al11

Il y a 1 year

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 7 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.