Darcula sukčiavimo rinkinys, susijęs su Kinijos grėsmių aktoriumi

Kinų valdoma „darcula“ platforma, kurios specializacija yra „phishing-as-a-Service“ (PhaaS) kinų kalba, aktyviai taikosi į organizacijas daugiau nei 100 šalių, naudodama sudėtingus metodus per daugiau nei 20 000 sukčiavimo domenų tinklą.

„Darcula“ yra pažangi „phishing-as-a-Service“ (PhaaS) platforma, kurioje naudojama daugiau nei 20 000 sukčiavimo domenų, kad būtų lengviau kibernetiniams nusikaltėliams pradėti firmines sukčiavimo kampanijas. Skirtingai nuo įprastų metodų, „darcula“ naudoja modernias technologijas, tokias kaip „JavaScript“, „React“, „Docker“ ir „Harbour“, panašias į tas, kurias naudoja aukštųjų technologijų startuoliai.

Naudodama iMessage ir RCS tekstiniams ryšiams, o ne SMS, „darcula“ efektyviai apeina SMS užkardas ir leidžia tikslingai atakuoti subjektus, tokius kaip USPS ir kitas nusistovėjusias organizacijas daugiau nei 100 šalių. Šios atakos, vadinamos „sutrikimu“, dažnai apima pranešimus apie „praleistus paketus“, kuriais siekiama suklaidinti vartotojus, kad jie, prisidengiant teisėtomis pašto paslaugomis, pateiktų neskelbtiną informaciją.

„Darcula“ platforma buvo susijusi su daugybe didelio atgarsio sukčiavimo atvejų, įskaitant sukčiavimus, nukreiptus tiek „Apple“, tiek „Android“ naudotojams JK, taip pat su apgaulingomis paketų schemomis, kurios apsimeta Jungtinių Valstijų pašto tarnyba (USPS), kuri sulaukė dėmesio Reddit's / r/phishing forumas.

Operatoriai, naudojantys „darcula“, platina savo kenkėjiškus URL pirmiausia per RCS ir „iMessage“, išnaudodami su šiomis platformomis susijusį pasitikėjimą ir vengdami tam tikrų tinklo filtrų, kurie paprastai blokuoja sukčiavimo SMS žinutes.

Šioje analizėje gilinamasi į „darcula“ mechaniką, pabrėžiant jos išskirtinį požiūrį į sukčiavimo kampanijas, ypač naudojant tekstinius pranešimus, ir jos efektyvumą renkant svarbius duomenis iš nieko neįtariančių aukų.

Darcula siūlo paruoštus sukčiavimo šablonus

„Darcula“ yra svarbus kibernetinių nusikaltimų srities veikėjas, siūlantis prenumeratos modelį kitiems nusikaltėliams, kad jie galėtų lengvai diegti sukčiavimo svetaines, nukreiptas į platų pasaulinių prekių ženklų spektrą, naudodamas šimtus šablonų.

Skirtingai nuo tradicinių sukčiavimo rinkinių, „darcula“ sukčiavimo svetainės gali sklandžiai atnaujinti, kad būtų integruotos naujos funkcijos ir apsaugos nuo aptikimo priemonės, užtikrinančios ilgalaikį veiksmingumą išvengiant aptikimo ir vykdymo pastangų.

Platforma palaiko maždaug 200 sukčiavimo šablonų, pritaikytų išnaudoti pasitikėjimą įvairiais prekių ženklais, apimančiais daugiau nei 100 šalių, daugiausia dėmesio skiriant pašto paslaugoms, bet taip pat skirta subjektams, kurie priklauso nuo vartotojų pasitikėjimo, pavyzdžiui, komunalinėms įmonėms, finansų įstaigoms, vyriausybinėms agentūroms, oro linijoms ir telekomunikacijoms. įmonių.

„Darcula“ sukčiavimo atakose dažniausiai naudojami pagal paskirtį registruoti domenai, dažnai imituojantys teisėtus prekių ženklų pavadinimus su populiariais aukščiausio lygio domenais, įskaitant .top ir .com. „Cloudflare“ yra įprastas infrastruktūros pasirinkimas, rekomenduojamas serverio IP adresams maskuoti kartu su „Tencent“, „Quadranet“ ir „Multacom“.

Daugiau nei 20 000 domenų, susietų su Darcula

„Netcraft“ nustatė daugiau nei 20 000 su „darcula“ susijusių domenų 11 000 IP adresų, skirtų daugiau nei 100 prekių ženklų, o nuo 2024 m. pradžios kasdien aptinkama 120 naujų domenų, kuriuose yra „darcula“ sukčiavimo puslapiai.

Kad būtų išvengta stebėjimo ir pašalinimo pastangų, „darcula“ svetainių priekinėje dalyje paprastai rodomi netikri domenų pardavimo / laikymo puslapiai. Be to, platformoje taikomos kovos su robotais priemonės, nukreipiančios įtartinus lankytojus į įvairių kačių veislių „Google“ paieškas, atspindėdamos kačių motyvą.

Skirtingai nuo įprastų SMS žinutėmis pagrįstų sukčiavimo atakų, „darcula“ masalai daugiausia naudoja RCS ir iMessage, išnaudodami šiuos alternatyvius ryšio protokolus platesniam pasiekiamumui ir patobulintoms šifravimo galimybėms. Tai, kad 2023 m. „Google“ priims RCS kaip numatytąjį pranešimų siuntimo protokolą, o „Apple“ 2024 m. palaikys RCS operacinėje sistemoje „iOS“, dar labiau padidina „darcula“ sukčiavimo kampanijų veiksmingumą.