Darcula 网络钓鱼工具包与中国威胁行为者有关
中国运营的“darcula”平台专门提供中文网络钓鱼即服务 (PhaaS),该平台通过 20,000 多个网络钓鱼域的网络,使用复杂的方法积极瞄准 100 多个国家/地区的组织。
“Darcula”是一个先进的网络钓鱼即服务 (PhaaS) 平台,利用 20,000 多个网络钓鱼域来帮助网络犯罪分子发起品牌网络钓鱼活动。与传统方法不同,“darcula”采用了 JavaScript、React、Docker 和 Harbor 等现代技术,类似于高科技初创公司所使用的技术。
通过利用 iMessage 和 RCS 代替 SMS 进行文本通信,“darcula”有效地绕过 SMS 防火墙,从而能够对 USPS 等实体和 100 多个国家/地区的其他知名组织进行有针对性的攻击。这些攻击被称为“网络钓鱼”,通常涉及有关“丢失包裹”的消息,以欺骗用户以合法邮政服务为幌子提供敏感信息。
“darcula”平台涉及多起备受瞩目的网络钓鱼事件,包括针对英国 Apple 和 Android 用户的诈骗,以及冒充美国邮政服务 (USPS) 的欺诈性包裹计划,这些事件在 Reddit 上引起了关注/ r/网络钓鱼论坛。
利用“darcula”的运营商主要通过 RCS 和 iMessage 分发恶意 URL,利用与这些平台相关的信任,同时规避通常会阻止诈骗短信的某些网络过滤器。
这项分析深入研究了“darcula”的机制,强调了其独特的网络钓鱼活动方法,特别是通过短信,以及它从毫无戒心的受害者那里提取关键数据的有效性。
Darcula 提供现成的网络钓鱼模板
“Darcula”代表了网络犯罪领域的重要参与者,它为其他犯罪分子提供基于订阅的模型,以便使用数百个模板轻松部署针对各种全球品牌的网络钓鱼网站。
与传统的网络钓鱼工具包不同,“darcula”网络钓鱼网站可以无缝更新以集成新功能和反检测措施,确保持续有效地逃避检测和执法工作。
该平台支持大约 200 个网络钓鱼模板,这些模板专为利用 100 多个国家/地区的各种品牌的信任而量身定制,主要针对邮政服务,但也针对依赖消费者信任的实体,例如公用事业、金融机构、政府机构、航空公司和电信公司。
“Darcula”网络钓鱼攻击主要利用专门注册的域名,通常模仿合法品牌名称,其中流行的顶级域名包括 .top 和 .com。 Cloudflare 是一种常见的基础设施选择,建议与腾讯、Quadranet 和 Multacom 一起用于屏蔽服务器 IP 地址。
超过 20,000 个域名链接到 Darcula
Netcraft 已在 11,000 个 IP 地址中识别出超过 20,000 个与“darcula”相关的域名,针对 100 多个品牌,自 2024 年初以来,平均每天检测到 120 个托管“darcula”网络钓鱼页面的新域名。
为了逃避监控和删除工作,“darcula”网站通常会在其前端显示虚假的域名销售/持有页面。此外,该平台还采用反机器人措施,将可疑访问者重定向到谷歌搜索各种猫品种,反映其以猫为主题的主题。
与传统的基于短信的网络钓鱼攻击不同,“darcula”诱饵主要利用 RCS 和 iMessage,利用这些替代通信协议实现更广泛的覆盖范围和增强的加密功能。谷歌将于 2023 年采用 RCS 作为默认消息传递协议,而苹果即将于 2024 年在 iOS 上支持 RCS,这进一步增强了“darcula”网络钓鱼活动的有效性。