Zestaw phishingowy Darcula powiązany z chińskim podmiotem stwarzającym zagrożenie

Obsługiwana przez Chińczyków platforma „darcula”, specjalizująca się w Phishingu jako usłudze (PhaaS) w języku chińskim, aktywnie atakuje organizacje w ponad 100 krajach, stosując wyrafinowane metody za pośrednictwem sieci składającej się z ponad 20 000 domen phishingowych.

„Darcula” to zaawansowana platforma Phishing-as-a-Service (PhaaS), wykorzystująca ponad 20 000 domen phishingowych, aby ułatwić cyberprzestępcom uruchamianie markowych kampanii phishingowych. W odróżnieniu od konwencjonalnych metod, „darcula” wykorzystuje nowoczesne technologie, takie jak JavaScript, React, Docker i Harbour, podobne do tych wykorzystywanych przez start-upy high-tech.

Wykorzystując iMessage i RCS do komunikacji tekstowej zamiast SMS-ów, „darcula” skutecznie omija zapory SMS, umożliwiając ukierunkowane ataki na podmioty takie jak USPS i inne uznane organizacje w ponad 100 krajach. Ataki te, zwane „smishingiem”, często obejmują wiadomości dotyczące „zaginionych przesyłek”, mające na celu oszukanie użytkowników i nakłonienie ich do przekazania poufnych informacji pod przykrywką legalnych usług pocztowych.

Platforma „darcula” jest powiązana z wieloma głośnymi incydentami phishingu, w tym z oszustwami wymierzonymi zarówno w użytkowników urządzeń Apple, jak i Androida w Wielkiej Brytanii, a także w programy oszukańczych przesyłek podszywających się pod Pocztę Stanów Zjednoczonych (USPS), co przykuło uwagę na portalu Reddit / r/forum phishingowe.

Operatorzy korzystający z „darcula” rozpowszechniają swoje złośliwe adresy URL głównie za pośrednictwem RCS i iMessage, wykorzystując zaufanie związane z tymi platformami, unikając jednocześnie pewnych filtrów sieciowych, które zazwyczaj blokują oszukańcze wiadomości SMS.

Niniejsza analiza zagłębia się w mechanikę „darcula”, podkreślając jej charakterystyczne podejście do kampanii phishingowych, szczególnie za pośrednictwem wiadomości tekstowych, oraz skuteczność w wydobywaniu krytycznych danych od niczego niepodejrzewających ofiar.

Darcula oferuje gotowe szablony phishingowe

„Darcula” reprezentuje znaczącego gracza na rynku cyberprzestępczości, oferując innym przestępcom model oparty na subskrypcji, umożliwiający łatwe wdrażanie witryn phishingowych skierowanych do szerokiej gamy światowych marek przy użyciu setek szablonów.

W przeciwieństwie do tradycyjnych zestawów do phishingu, witryny phishingowe „darcula” mogą bezproblemowo aktualizować się w celu zintegrowania nowych funkcji i środków zapobiegających wykryciu, zapewniając trwałą skuteczność w unikaniu wykrycia i egzekwowania prawa.

Platforma obsługuje około 200 szablonów phishingu, dostosowanych do wykorzystania zaufania do różnych marek w ponad 100 krajach, skupiając się głównie na usługach pocztowych, ale także atakując podmioty zależne od zaufania konsumentów, takie jak przedsiębiorstwa użyteczności publicznej, instytucje finansowe, agencje rządowe, linie lotnicze i telekomunikacja firmy.

Ataki phishingowe typu „Darcula” wykorzystują głównie domeny zarejestrowane w określonym celu, często naśladujące legalne marki, w tym popularne domeny najwyższego poziomu, w tym .top i .com. Cloudflare to powszechny wybór infrastruktury, zalecany do maskowania adresów IP serwerów, obok Tencent, Quadranet i Multacom.

Ponad 20 000 domen powiązanych z Darculą

Firma Netcraft zidentyfikowała ponad 20 000 domen powiązanych z „darcula” w 11 000 adresach IP, atakując ponad 100 marek, przy czym od początku 2024 r. średnio wykrywano 120 nowych domen zawierających strony phishingowe „darcula” dziennie.

Aby uniknąć prób monitorowania i usuwania, witryny „darcula” zazwyczaj wyświetlają w swoim interfejsie fałszywe strony sprzedaży/wstrzymywania domen. Dodatkowo platforma wykorzystuje zabezpieczenia przed botami, przekierowując podejrzanych użytkowników do wyszukiwań Google dotyczących różnych ras kotów, co odzwierciedla motyw kotów.

W przeciwieństwie do konwencjonalnych ataków phishingowych opartych na wiadomościach SMS, przynęty „darcula” wykorzystują głównie RCS i iMessage, wykorzystując te alternatywne protokoły komunikacyjne w celu zapewnienia szerszego zasięgu i ulepszonych możliwości szyfrowania. Przyjęcie przez Google RCS jako domyślnego protokołu przesyłania wiadomości w 2023 r. oraz nadchodząca obsługa RCS przez Apple w systemie iOS w 2024 r. jeszcze bardziej zwiększają skuteczność kampanii phishingowych „darcula”.