Новый PhaaS-сервис (Phishing-as-a-Service, «Фишинг-как-услуга») Darcula использует порядка 20 000 доменов для имитации различных брендов и кражи учетных данных у пользователей Android и iPhone в 100 странах мира.
Впервые Darcula был замечен еще летом 2023 года ИБ-исследователем Ошри Калфоном (Oshri Kalfon), но теперь аналитики компании Netcraft сообщают, что с тех пор эта платформа стала заметно популярнее в среде киберпреступников, и недавно ее стали применять в масштабных атаках.
«За последний год платформа Darcula использовалась для многочисленных громких фишинговых атак, включая рассылку сообщений на устройства Apple и Android в Великобритании, а также мошенничество с почтовыми отправлениями, где преступники выдавали себя за Почтовую службу США (USPS), о чем сообщалось в многочисленных публикациях на Reddit /r/phishing», — сообщают в Netcraft.
По словам специалистов, Darcula уже использовался для атак на различные службы и организации, от почтовых, финансовых, правительственных и налоговых департаментов до телекоммуникационных компаний, авиакомпаний и коммунальных служб, предлагая мошенникам более 200 шаблонов на выбор.
Отмечается, что Darcula использует JavaScript, React, Docker и Harbor, что позволяет создателям сервиса регулярно обновлять его и добавлять новые функции, а у клиентов не возникает необходимости переустанавливать фишинг-кит.
Также отличительной особенностью сервиса является то, что для отправки фишинговых сообщений здесь используются протокол Rich Communication Services (RCS) для Google Messages и iMessage, а не SMS-сообщения.
Идея заключается в том, что жертвы с большей вероятностью воспримут такие сообщения как настоящие, доверяя дополнительным мерам защиты, недоступным в случае SMS. Кроме того, RCS и iMessage поддерживают сквозное шифрование, а значит, невозможно перехватить и заблокировать фишинговые сообщения на основе их содержимого. В Netcraft отмечают, что к таким переменам преступников, вероятно, подталкивают недавние законодательные инициативы, направленные на борьбу с кибератаками через SMS.
Как уже было сказано выше, фишинговый набор предлагает клиентам 200 фишинговых шаблонов, которые имитируют бренды и организации более чем в 100 странах мира. Лендинговые страницы отличаются высоким качеством, используют правильный региональный язык, логотипы и контент.
Мошенники просто выбирают нужный бренд и запускают скрипт настройки, который разворачивает соответствующий фишинговый сайт, а также панель управления им в среде Docker. Система использует опенсорсный Harbor для размещения образа Docker, а фишинговые сайты создаются с помощью React.
По словам экспертов, Darcula обычно использует домены верхнего уровня .top и .com для размещения специально зарегистрированных доменов для фишинговых атак, и примерно треть из них защищены Cloudflare. В общей сложности было обнаружено 20 000 доменов Darcula на 11 000 IP-адресов, причем ежедневно к этому списку добавляется еще около 120 новых доменов.
Упомянутые RCS и iMessage, на которые полагается Darcula, имеют свои ограничения. К примеру, недавно Apple запретила учетным записям отправлять большое количество сообщений нескольким адресатам, а Google ввела ограничения, не позволяющее рутованным Android-устройствам отправлять и получать RCS-сообщения.
Злоумышленники пытаются обойти эти запреты, создавая несколько Apple ID и используя целые фермы устройств, чтобы отправлять небольшое количество сообщений с каждого из них.
Более сложным препятствием является защита iMessage, которая позволяет получателям нажимать на URL-ссылку только в том случае, если они ответили на сообщение. Чтобы обойти эту защиту, в фишинговом сообщении получателю предлагается ответить «Y» или «1», а затем снова открыть сообщение, чтобы перейти по ссылке.
Специалисты напоминают пользователям, что стоит относиться ко всем входящим сообщениям с должной бдительностью, особенно если неизвестный отправитель просит перейти по URL-адресу.