Darcula Phishing-sett knyttet til kinesisk trusselskuespiller

Den kinesisk-opererte 'darcula'-plattformen, som spesialiserer seg på Phishing-as-a-Service (PhaaS) på kinesisk språk, retter seg aktivt mot organisasjoner på tvers av mer enn 100 land ved å bruke sofistikerte metoder via et nettverk av over 20 000 phishing-domener.

'Darcula' er en avansert phishing-as-a-Service (PhaaS)-plattform, som bruker over 20 000 phishing-domener for å gjøre det lettere for nettkriminelle å lansere merkede phishing-kampanjer. Forskjellig fra konvensjonelle metoder, bruker 'darcula' moderne teknologier som JavaScript, React, Docker og Harbor, i likhet med de som brukes av høyteknologiske startups.

Ved å utnytte iMessage og RCS for tekstkommunikasjon i stedet for SMS, omgår 'darcula' SMS-brannmurer effektivt, og muliggjør målrettede angrep på enheter som USPS og andre etablerte organisasjoner i over 100 land. Disse angrepene, kjent som "smishing", involverer ofte meldinger om "glipp av pakker" for å lure brukere til å gi sensitiv informasjon under dekke av legitime posttjenester.

"Darcula"-plattformen har vært involvert i en rekke høyprofilerte phishing-hendelser, inkludert svindel rettet mot både Apple- og Android-brukere i Storbritannia, samt uredelige pakkeordninger som utgir seg for å være United States Postal Service (USPS), som fikk oppmerksomhet på Reddits / r/phishing-forum.

Operatører som bruker "darcula" distribuerer ondsinnede URL-er primært gjennom RCS og iMessage, og utnytter tilliten knyttet til disse plattformene mens de unngår visse nettverksfiltre som vanligvis blokkerer svindel-SMS-meldinger.

Denne analysen går inn i mekanikken til "darcula", og fremhever dens særegne tilnærming til phishing-kampanjer, spesielt gjennom tekstmeldinger, og dens effektivitet i å trekke ut kritiske data fra intetanende ofre.

Darcula tilbyr ferdiglagde phishing-maler

'Darcula' representerer en betydelig aktør innen nettkriminalitet, og tilbyr en abonnementsbasert modell for andre kriminelle for enkelt å distribuere phishing-nettsteder rettet mot et bredt spekter av globale merkevarer ved hjelp av hundrevis av maler.

I motsetning til tradisjonelle phishing-sett, kan 'darcula' phishing-nettsteder sømløst oppdatere for å integrere nye funksjoner og anti-deteksjonstiltak, noe som sikrer vedvarende effektivitet når det gjelder å unngå oppdagelse og håndhevelse.

Plattformen kan skryte av støtte for omtrent 200 phishing-maler, skreddersydd for å utnytte tillit i ulike merker som spenner over 100 land, hovedsakelig med fokus på posttjenester, men også rettet mot enheter som er avhengige av forbrukertillit, som verktøy, finansinstitusjoner, offentlige etater, flyselskaper og telekom selskaper.

"Darcula" phishing-angrep bruker hovedsakelig formålsregistrerte domener, som ofte etterligner legitime merkenavn, med populære toppdomener inkludert .top og .com. Cloudflare er et vanlig infrastrukturvalg, anbefalt for maskering av server IP-adresser, sammen med Tencent, Quadranet og Multacom.

Over 20 000 domener knyttet til Darcula

Netcraft har identifisert over 20 000 'darcula'-relaterte domener fordelt på 11 000 IP-adresser, målrettet mot over 100 merker, med en gjennomsnittlig gjenkjenning av 120 nye domener som er vert for 'darcula' phishing-sider daglig siden begynnelsen av 2024.

For å unngå overvåking og fjerningstiltak, viser 'darcula'-nettsteder vanligvis falske domenesalgs-/holdesider i grensesnittet. I tillegg bruker plattformen anti-bot-tiltak, som omdirigerer mistenkelige besøkende til Google-søk etter forskjellige katteraser, noe som gjenspeiler dets katt-tema-motiv.

I motsetning til konvensjonelle SMS-baserte phishing-angrep, bruker "darcula" lokker hovedsakelig RCS og iMessage, og utnytter disse alternative kommunikasjonsprotokollene for deres bredere rekkevidde og forbedrede krypteringsevner. Googles bruk av RCS som standard meldingsprotokoll i 2023 og Apples kommende støtte for RCS på iOS i 2024 forsterker effektiviteten til «darculas» phishing-kampanjer ytterligere.