Darcula została po raz pierwszy opisana latem zeszłego roku przez badacza bezpieczeństwa Oshriego Kalfona, ale analitycy Netcraft donoszą, że platforma staje się coraz bardziej popularna w kręgach cyberprzestępczości i została ostatnio wykorzystana w kilku istotnych atakach.
Chińskojęzyczna platforma do zautomatyzowanego phishingu „Darcula” pozwoliła na zaatakowanie organizacji w ponad 100 krajach za pomocą zaawansowanych technik. Z usługą powiązano jak dotąd ponad 20 000 domen phishingowych. Platforma korzysta z wielu zaawansowanych narzędzi, z których korzystają start-upy z branży zaawansowanych technologii, w tym iMessage i RCS zamiast SMS-ów do wysyłania wiadomości tekstowych.
„W ciągu ostatniego roku platforma Darcula była wykorzystywana do licznych głośnych ataków phishingowych, w tym do wiadomości otrzymywanych w Wielkiej Brytanii na urządzenia Apple i Android, a także do oszustw związanych z wiadomościami podszywającymi się pod United States Postal Service (USPS), o których mowa w licznych postach /r/phishing na Reddicie.” –
Netcraft
W przeciwieństwie do tradycyjnych metod phishingu, Darcula wykorzystuje nowoczesne technologie, takie jak React, Docker i Harbour, umożliwiając ciągłe aktualizacje i dodawanie nowych funkcji bez konieczności ponownego instalowania przez klientów zestawów phishingowych. Zestaw do phishingu oferuje 200 szablonów phishingu, które podszywają się pod marki i organizacje w ponad 100 krajach. Strony docelowe są wysokiej jakości i wykorzystują właściwy lokalny język, logo i treść.
Przy użyciu usługi Darcula oszuści mogą w łatwy sposób wybrać markę, pod którą się podają, i uruchomić skrypt instalacyjny, który buduje i instaluje odpowiednią witrynę phishingową dodatkowo uruchamiając pulpit zarządzania, którym mogą się posługiwać przestępcy. System korzysta z rejestru kontenerów Harbour o otwartym kodzie źródłowym do hostowania obrazu Dockera, natomiast witryny phishingowe są tworzone przy użyciu React. Netcraft zmapował 20 000 domen używanych przez „klientów” Darcula na 11 000 adresów IP, a codziennie dodawanych jest 120 nowych domen.
Użytkownicy powinni traktować wszystkie przychodzące wiadomości nakłaniające ich do kliknięcia w linki z podejrzliwością, zwłaszcza jeśli nadawca nie jest rozpoznawany. Niezależnie od platformy lub aplikacji cyberprzestępcy będą nadal eksperymentować z nowymi metodami dostarczania. Badacze Netcraft zalecają również zwracanie uwagi na niedokładną gramatykę, błędy ortograficzne, zbyt atrakcyjne oferty lub wezwania do pilnych działań.
Źródło: https://www.netcraft.com/blog/darcula-smishing-attacks-target-usps-and-global-postal-services/
