Kit de phishing Darcula vinculado a ator chinês de ameaças

A plataforma 'darcula' operada pela China, especializada em Phishing-as-a-Service (PhaaS) na língua chinesa, tem como alvo activo organizações em mais de 100 países, utilizando métodos sofisticados através de uma rede de mais de 20.000 domínios de phishing.

'Darcula' é uma plataforma avançada de Phishing-as-a-Service (PhaaS), que utiliza mais de 20.000 domínios de phishing para facilitar o lançamento de campanhas de phishing de marca pelos cibercriminosos. Diferentemente dos métodos convencionais, ‘darcula’ emprega tecnologias modernas como JavaScript, React, Docker e Harbor, semelhantes às utilizadas por startups de alta tecnologia.

Ao aproveitar o iMessage e o RCS para comunicações de texto em vez de SMS, o 'darcula' contorna os firewalls de SMS de forma eficaz, permitindo ataques direcionados a entidades como o USPS e outras organizações estabelecidas em mais de 100 países. Estes ataques, conhecidos como “smishing”, envolvem frequentemente mensagens relativas a “pacotes perdidos” para enganar os utilizadores e fazê-los fornecer informações sensíveis sob o disfarce de serviços postais legítimos.

A plataforma ‘darcula’ foi implicada em vários incidentes de phishing de alto perfil, incluindo golpes direcionados a usuários Apple e Android no Reino Unido, bem como esquemas de pacotes fraudulentos que se fazem passar pelo Serviço Postal dos Estados Unidos (USPS), que ganhou atenção no Reddit's / r/fórum de phishing.

Os operadores que utilizam o 'darcula' distribuem os seus URLs maliciosos principalmente através do RCS e do iMessage, explorando a confiança associada a estas plataformas enquanto evitam certos filtros de rede que normalmente bloqueiam mensagens SMS fraudulentas.

Esta análise investiga a mecânica da 'darcula', destacando a sua abordagem distinta às campanhas de phishing, especialmente através de mensagens de texto, e a sua eficácia na extração de dados críticos de vítimas inocentes.

Darcula oferece modelos de phishing prontos

'Darcula' representa um ator significativo no cenário do crime cibernético, oferecendo um modelo baseado em assinatura para que outros criminosos implantem facilmente sites de phishing direcionados a uma ampla gama de marcas globais usando centenas de modelos.

Ao contrário dos kits de phishing tradicionais, os sites de phishing 'darcula' podem ser atualizados perfeitamente para integrar novos recursos e medidas antidetecção, garantindo eficácia sustentada na evasão dos esforços de detecção e fiscalização.

A plataforma oferece suporte para aproximadamente 200 modelos de phishing, adaptados para explorar a confiança em várias marcas, abrangendo mais de 100 países, concentrando-se predominantemente em serviços postais, mas também visando entidades que dependem da confiança do consumidor, como serviços públicos, instituições financeiras, agências governamentais, companhias aéreas e telecomunicações. empresas.

Os ataques de phishing 'Darcula' utilizam predominantemente domínios registrados para fins específicos, muitas vezes imitando nomes de marcas legítimas, com domínios de nível superior populares, incluindo .top e .com. Cloudflare é uma escolha de infraestrutura comum, recomendada para mascarar endereços IP de servidores, junto com Tencent, Quadranet e Multacom.

Mais de 20.000 domínios vinculados ao Darcula

A Netcraft identificou mais de 20.000 domínios relacionados a ‘darcula’ em 11.000 endereços IP, visando mais de 100 marcas, com uma detecção média de 120 novos domínios que hospedam páginas de phishing ‘darcula’ diariamente desde o início de 2024.

Para evitar esforços de monitoramento e remoção, os sites 'darcula' normalmente exibem páginas falsas de venda/manutenção de domínios em seu front-end. Além disso, a plataforma emprega medidas anti-bot, redirecionando visitantes suspeitos para pesquisas no Google por várias raças de gatos, refletindo seu tema temático de gatos.

Ao contrário dos ataques de phishing convencionais baseados em SMS, as iscas 'darcula' utilizam predominantemente RCS e iMessage, explorando estes protocolos de comunicação alternativos para o seu alcance mais amplo e capacidades de encriptação melhoradas. A adoção do RCS pelo Google como protocolo de mensagens padrão em 2023 e o próximo suporte da Apple para RCS no iOS em 2024 amplificam ainda mais a eficácia das campanhas de phishing de ‘darcula’.