Darcula 网络钓鱼工具包与中国威胁行为者有关

中国运营的“darcula”平台专门提供中文网络钓鱼即服务 (PhaaS)，该平台通过 20,000 多个网络钓鱼域的网络，使用复杂的方法积极瞄准 100 多个国家/地区的组织。

“Darcula”是一个先进的网络钓鱼即服务 (PhaaS) 平台，利用 20,000 多个网络钓鱼域来帮助网络犯罪分子发起品牌网络钓鱼活动。与传统方法不同，“darcula”采用了 JavaScript、React、Docker 和 Harbor 等现代技术，类似于高科技初创公司所使用的技术。

通过利用 iMessage 和 RCS 代替 SMS 进行文本通信，“darcula”有效地绕过 SMS 防火墙，从而能够对 USPS 等实体和 100 多个国家/地区的其他知名组织进行有针对性的攻击。这些攻击被称为“网络钓鱼”，通常涉及有关“丢失包裹”的消息，以欺骗用户以合法邮政服务为幌子提供敏感信息。

“darcula”平台涉及多起备受瞩目的网络钓鱼事件，包括针对英国 Apple 和 Android 用户的诈骗，以及冒充美国邮政服务 (USPS) 的欺诈性包裹计划，这些事件在 Reddit 上引起了关注/ r/网络钓鱼论坛。

利用“darcula”的运营商主要通过 RCS 和 iMessage 分发恶意 URL，利用与这些平台相关的信任，同时规避通常会阻止诈骗短信的某些网络过滤器。

这项分析深入研究了“darcula”的机制，强调了其独特的网络钓鱼活动方法，特别是通过短信，以及它从毫无戒心的受害者那里提取关键数据的有效性。

Darcula 提供现成的网络钓鱼模板

“Darcula”代表了网络犯罪领域的重要参与者，它为其他犯罪分子提供基于订阅的模型，以便使用数百个模板轻松部署针对各种全球品牌的网络钓鱼网站。

与传统的网络钓鱼工具包不同，“darcula”网络钓鱼网站可以无缝更新以集成新功能和反检测措施，确保持续有效地逃避检测和执法工作。

该平台支持大约 200 个网络钓鱼模板，这些模板专为利用 100 多个国家/地区的各种品牌的信任而量身定制，主要针对邮政服务，但也针对依赖消费者信任的实体，例如公用事业、金融机构、政府机构、航空公司和电信公司。

“Darcula”网络钓鱼攻击主要利用专门注册的域名，通常模仿合法品牌名称，其中流行的顶级域名包括 .top 和 .com。 Cloudflare 是一种常见的基础设施选择，建议与腾讯、Quadranet 和 Multacom 一起用于屏蔽服务器 IP 地址。

超过 20,000 个域名链接到 Darcula

Netcraft 已在 11,000 个 IP 地址中识别出超过 20,000 个与“darcula”相关的域名，针对 100 多个品牌，自 2024 年初以来，平均每天检测到 120 个托管“darcula”网络钓鱼页面的新域名。

为了逃避监控和删除工作，“darcula”网站通常会在其前端显示虚假的域名销售/持有页面。此外，该平台还采用反机器人措施，将可疑访问者重定向到谷歌搜索各种猫品种，反映其以猫为主题的主题。

与传统的基于短信的网络钓鱼攻击不同，“darcula”诱饵主要利用 RCS 和 iMessage，利用这些替代通信协议实现更广泛的覆盖范围和增强的加密功能。谷歌将于 2023 年采用 RCS 作为默认消息传递协议，而苹果即将于 2024 年在 iOS 上支持 RCS，这进一步增强了“darcula”网络钓鱼活动的有效性。