A Darcula adathalász készlet kínai fenyegetőzőhöz kapcsolódik

A kínaiak által működtetett „darcula” platform, amely a kínai nyelvű adathalászat szolgáltatásként (PhaaS) szakosodott, több mint 100 ország szervezeteit célozza meg kifinomult módszerekkel a több mint 20 000 adathalász domainből álló hálózaton keresztül.

A „Darcula” egy fejlett adathalászat szolgáltatásként (PhaaS) platform, amely több mint 20 000 adathalász domaint használ, hogy megkönnyítse a kiberbűnözőket a márkás adathalász kampányok elindításában. A hagyományos módszerektől eltérően a „darcula” olyan modern technológiákat alkalmaz, mint a JavaScript, a React, a Docker és a Harbor, amelyek hasonlóak a csúcstechnológiás startupok által használtakhoz.

Az iMessage-t és az RCS-t SMS helyett szöveges kommunikációra kihasználva a „darcula” hatékonyan megkerüli az SMS-tűzfalakat, lehetővé téve a célzott támadásokat olyan entitások ellen, mint az USPS és más bevált szervezetek több mint 100 országban. Ezek a „smishing” néven ismert támadások gyakran tartalmaznak „elmulasztott csomagokra” vonatkozó üzeneteket, amelyek célja, hogy megtévesszék a felhasználókat, hogy legitim postai szolgáltatások leple alatt bizalmas információkat adjanak meg.

A „darcula” platform számos nagy horderejű adathalász incidensben érintett, többek között az Egyesült Királyságban az Apple és Android felhasználókat is megcélzó csalásokban, valamint az Egyesült Államok Postaszolgálatának (USPS) kiadó csaló csomagrendszerekben, amelyek a Reddit-en keltették fel a figyelmet. r/phishing fórum.

A „darcula”-t használó szolgáltatók rosszindulatú URL-címeiket elsősorban RCS-n és iMessage-en keresztül terjesztik, kihasználva az ezekhez a platformokhoz kapcsolódó bizalmat, miközben kikerülnek bizonyos hálózati szűrőket, amelyek általában blokkolják a csaló SMS-üzeneteket.

Ez az elemzés a „darcula” mechanikájába nyúlik bele, kiemelve az adathalász kampányok sajátos megközelítését, különösen a szöveges üzeneteken keresztül, valamint a kritikus adatok kinyerésében a gyanútlan áldozatoktól való hatékonyságát.

A Darcula kész adathalász sablonokat kínál

A „Darcula” jelentős szereplő a kiberbűnözés terén, és előfizetésen alapuló modellt kínál más bűnözők számára, hogy könnyen telepíthessenek adathalász webhelyeket, amelyek a globális márkák széles skáláját célozzák meg sablonok százai segítségével.

A hagyományos adathalász készletekkel ellentétben a „darcula” adathalász webhelyek zökkenőmentesen frissíthetők, hogy új funkciókat és észlelésgátló intézkedéseket integráljanak, így biztosítva a tartós hatékonyságot az észlelési és végrehajtási erőfeszítések elkerülésében.

A platform körülbelül 200 adathalászsablon támogatásával büszkélkedhet, amelyek a több mint 100 országot felölelő különböző márkákba vetett bizalom kiaknázására lettek kialakítva, elsősorban a postai szolgáltatásokra összpontosítva, de megcélozva a fogyasztói bizalomra támaszkodó entitásokat is, például közműveket, pénzintézeteket, kormányzati ügynökségeket, légitársaságokat és távközlést. cégek.

A „Darcula” adathalász támadások túlnyomórészt célirányosan regisztrált domaineket használnak, gyakran legitim márkaneveket utánozva, a népszerű legfelső szintű domainekkel, köztük a .top és a .com domainekkel. A Cloudflare egy gyakori infrastruktúra-választás, amelyet a szerver IP-címeinek maszkolására ajánlanak a Tencent, a Quadranet és a Multacom mellett.

Több mint 20 000 domain kapcsolódik a Darculához

A Netcraft több mint 20 000 „darculával” kapcsolatos domaint azonosított 11 000 IP-címen, több mint 100 márkát célozva, és 2024 eleje óta átlagosan napi 120 új domaint észleltek, amelyek „darcula” adathalász oldalakat tartalmaznak.

A megfigyelési és eltávolítási erőfeszítések elkerülése érdekében a „darcula” webhelyek általában hamis domain értékesítési/fenntartási oldalakat jelenítenek meg a kezelőfelületükön. Ezenkívül a platform botellenes intézkedéseket alkalmaz, és a gyanús látogatókat a Google különböző macskafajtákra irányuló kereséseihez irányítja, tükrözve a macska témájú motívumot.

A hagyományos SMS-alapú adathalász támadásoktól eltérően a „darcula” csalik túlnyomórészt RCS-t és iMessage-t használnak, kihasználva ezeket az alternatív kommunikációs protokollokat szélesebb körű hatókörük és továbbfejlesztett titkosítási képességeik érdekében. A Google 2023-ban alapértelmezett üzenetküldési protokollként történő elfogadása az RCS-t, valamint az, hogy az Apple 2024-ben hamarosan támogatja az RCS-t iOS rendszeren, tovább erősíti a „darcula” adathalászati kampányainak hatékonyságát.