Фишинговый комплект Darcula связан с китайским злоумышленником

Платформа Darcula, управляемая Китаем и специализирующаяся на фишинге как услуге (PhaaS) на китайском языке, активно нацелена на организации в более чем 100 странах, используя сложные методы через сеть, насчитывающую более 20 000 фишинговых доменов.

Darcula — это передовая платформа «Фишинг как услуга» (PhaaS), использующая более 20 000 фишинговых доменов для облегчения киберпреступникам запуска фирменных фишинговых кампаний. В отличие от традиционных методов, «даркула» использует современные технологии, такие как JavaScript, React, Docker и Harbour, аналогичные тем, которые используются высокотехнологичными стартапами.

Используя iMessage и RCS для текстовых сообщений вместо SMS, «darcula» эффективно обходит SMS-брандмауэры, обеспечивая целевые атаки на такие организации, как USPS и другие авторитетные организации в более чем 100 странах. Эти атаки, известные как «смишинг», часто включают в себя сообщения о «пропущенных посылках», призванные обманом заставить пользователей предоставить конфиденциальную информацию под видом законных почтовых услуг.

Платформа «darcula» была замешана в многочисленных громких фишинговых инцидентах, в том числе в мошенничестве, направленном против пользователей Apple и Android в Великобритании, а также в мошеннических схемах пакетов, выдававших себя за Почтовую службу США (USPS), которые привлекли внимание на Reddit/ р/фишинговый форум.

Операторы, использующие «darcula», распространяют свои вредоносные URL-адреса в основном через RCS и iMessage, используя доверие, связанное с этими платформами, и одновременно уклоняясь от определенных сетевых фильтров, которые обычно блокируют мошеннические SMS-сообщения.

Этот анализ углубляется в механику «даркулы», подчеркивая ее особый подход к фишинговым кампаниям, особенно с помощью текстовых сообщений, и ее эффективность в извлечении важных данных от ничего не подозревающих жертв.

Darcula предлагает готовые шаблоны для фишинга

«Даркула» представляет собой значимого игрока на рынке киберпреступности, предлагая другим преступникам модель на основе подписки, позволяющую легко развертывать фишинговые сайты, нацеленные на широкий спектр мировых брендов, с использованием сотен шаблонов.

В отличие от традиционных наборов фишинга, фишинговые веб-сайты «даркула» могут легко обновляться для интеграции новых функций и мер по борьбе с обнаружением, обеспечивая устойчивую эффективность в уклонении от обнаружения и мерах по обеспечению правоприменения.

Платформа поддерживает около 200 фишинговых шаблонов, предназначенных для использования доверия к различным брендам, охватывающим более чем 100 стран, преимущественно ориентированных на почтовые услуги, но также нацеленных на организации, зависящие от доверия потребителей, такие как коммунальные предприятия, финансовые учреждения, государственные учреждения, авиакомпании и телекоммуникации. компании.

В фишинговых атаках «Даркула» преимущественно используются специально зарегистрированные домены, часто имитирующие законные торговые марки, а также популярные домены верхнего уровня, включая .top и .com. Cloudflare — это распространенный выбор инфраструктуры, рекомендуемый для маскировки IP-адресов серверов наряду с Tencent, Quadranet и Multacom.

Более 20 000 доменов связаны с Darcula

Netcraft выявила более 20 000 доменов, связанных с «даркулой», на 11 000 IP-адресов, ориентированных на более чем 100 брендов, при этом в среднем с начала 2024 года ежедневно обнаруживается 120 новых доменов, на которых размещаются фишинговые страницы «даркула».

Чтобы избежать мониторинга и удаления, сайты «даркула» обычно отображают на своем внешнем интерфейсе поддельные страницы продажи/удержания домена. Кроме того, платформа использует меры по борьбе с ботами, перенаправляя подозрительных посетителей на поисковые запросы Google по различным породам кошек, что отражает ее кошачью тематику.

В отличие от обычных фишинговых атак на основе SMS, приманки «даркула» преимущественно используют RCS и iMessage, используя эти альтернативные протоколы связи для их более широкого охвата и расширенных возможностей шифрования. Принятие Google RCS в качестве протокола обмена сообщениями по умолчанию в 2023 году и предстоящая поддержка Apple RCS на iOS в 2024 году еще больше повысят эффективность фишинговых кампаний «даркулы».