Darcula 網路釣魚工具包與中國威脅行為者有關

中國營運的「darcula」平台專門提供中文網路釣魚即服務 (PhaaS)，該平台透過 20,000 多個網路釣魚域的網絡，使用複雜的方法積極針對 100 多個國家/地區的組織。

「Darcula」是一個先進的網路釣魚即服務 (PhaaS) 平台，利用 20,000 多個網路釣魚網域來幫助網路犯罪分子發起品牌網路釣魚活動。與傳統方法不同，「darcula」採用了 JavaScript、React、Docker 和 Harbor 等現代技術，類似於高科技新創公司所使用的技術。

透過利用 iMessage 和 RCS 代替 SMS 進行文字通信，「darcula」有效繞過 SMS 防火牆，從而能夠對 USPS 等實體和 100 多個國家/地區的其他知名組織進行有針對性的攻擊。這些攻擊被稱為“網路釣魚”，通常涉及有關“丟失包裹”的訊息，以欺騙用戶以合法郵政服務為幌子提供敏感資訊。

「darcula」平台涉及多起備受矚目的網路釣魚事件，包括針對英國 Apple 和 Android 用戶的詐騙，以及冒充美國郵政服務 (USPS) 的欺詐性包裹計劃，這些事件在 Reddit 上引起了關注/ r/網路釣魚論壇。

利用「darcula」的業者主要透過 RCS 和 iMessage 分發惡意 URL，利用與這些平台相關的信任，同時規避通常會阻止詐騙 SMS 訊息的某些網路過濾器。

這項分析深入研究了「darcula」的機制，強調了其獨特的網路釣魚活動方法，特別是透過短信，以及它從毫無戒心的受害者那裡提取關鍵數據的有效性。

Darcula 提供現成的網路釣魚模板

「Darcula」代表了網路犯罪領域的重要參與者，它為其他犯罪分子提供基於訂閱的模型，以便使用數百個模板輕鬆部署針對各種全球品牌的網路釣魚網站。

與傳統的網路釣魚工具包不同，「darcula」網路釣魚網站可以無縫更新以整合新功能和反偵測措施，確保持續有效地逃避偵測和執法工作。

該平台支援約200 個網路釣魚模板，這些模板專為利用100 多個國家/地區的各種品牌的信任而量身定制，主要針對郵政服務，但也針對依賴消費者信任的實體，例如公用事業、金融機構、政府機構、航空公司和電信公司。

「Darcula」網路釣魚攻擊主要利用專門註冊的域名，通常模仿合法品牌名稱，其中流行的頂級域名包括 .top 和 .com。 Cloudflare 是常見的基礎架構選擇，建議與騰訊、Quadranet 和 Multacom 一起用於封鎖伺服器 IP 位址。

超過 20,000 個網域連結到 Darcula

Netcraft 已在 11,000 個 IP 位址中識別出超過 20,000 個與「darcula」相關的域名，針對 100 多個品牌，自 2024 年初以來，平均每天檢測到 120 個託管「darcula」網路釣魚頁面的新域名。

為了逃避監控和刪除工作，「darcula」網站通常會在其前端顯示虛假的網域銷售/持有頁面。此外，該平台還採用反機器人措施，將可疑訪客重定向到谷歌搜尋各種貓品種，反映其以貓為主題的主題。

與傳統的基於簡訊的網路釣魚攻擊不同，「darcula」誘餌主要利用 RCS 和 iMessage，利用這些替代通訊協定來實現更廣泛的覆蓋範圍和增強的加密功能。 Google 將在 2023 年採用 RCS 作為預設訊息傳遞協議，而蘋果即將在 2024 年在 iOS 上支援 RCS，這進一步增強了「darcula」網路釣魚活動的有效性。