Um novo serviço de phishing como serviço (PhaaS) chamado ‘Darcula’ usa 20.000 domínios para falsificar marcas e roubar credenciais de usuários de Android e iPhone em mais de 100 países.
Darcula tem sido usado contra vários serviços e organizações, desde departamentos postais, financeiros, governamentais, fiscais, até telecomunicações, companhias aéreas, utilidades, oferecendo aos fraudadores mais de 200 modelos para escolher.
Uma coisa que faz o serviço se destacar é que ele aborda os alvos usando o protocolo Rich Communication Services (RCS) para Google Messages e iMessage ao invés de SMS para enviar mensagens de phishing.
Darcula foi documentado pela primeira vez no último verão pelo pesquisador de segurança Oshri Kalfon, mas analistas da Netcraft relatam que a plataforma vem se tornando mais popular no espaço de cibercrime, e foi usada recentemente em vários casos de alto perfil.
Diferentemente dos métodos tradicionais de phishing, Darcula emprega tecnologias modernas como JavaScript, React, Docker e Harbor, permitindo atualizações contínuas e novas adições de recursos sem que os clientes precisem reinstalar os kits de phishing.
O kit de phishing oferece 200 modelos de phishing que se passam por marcas e organizações em mais de 100 países.
As páginas de destino são de alta qualidade e usam o idioma local correto, logotipos e conteúdo.
Os fraudadores selecionam uma marca para se passar e executam um script de configuração que instala o site de phishing correspondente e seu painel de controle diretamente em um ambiente Docker.
O sistema usa o registro de contêiner de código aberto Harbor para hospedar a imagem Docker, enquanto os sites de phishing são desenvolvidos usando React.
Os pesquisadores dizem que o serviço Darcula normalmente usa domínios de nível superior “.top” e “.com” para hospedar domínios registrados para os ataques de phishing, enquanto cerca de um terço deles são apoiados pela Cloudflare.
A Netcraft mapeou 20.000 domínios Darcula em 11.000 endereços IP, com 120 novos domínios sendo adicionados diariamente.
Darcula diverge das táticas tradicionais baseadas em SMS e, em vez disso, utiliza RCS (Android) e iMessage (iOS) para enviar mensagens com links para a URL de phishing.
A vantagem disso é que os destinatários têm mais chances de perceber a comunicação como legítima, confiando nas salvaguardas adicionais que não estão disponíveis no SMS.
Além disso, como o RCS e o iMessage suportam criptografia de ponta a ponta, é impossível interceptar e bloquear mensagens de phishing com base em seu conteúdo.
A Netcraft comenta que esforços legislativos globais recentes voltados para conter o cibercrime baseado em SMS bloqueando mensagens suspeitas provavelmente estão empurrando as plataformas PhaaS para protocolos alternativos como o RCS e o iMessage.
No entanto, esses protocolos vêm com seus próprios conjuntos de restrições que os cibercriminosos precisam superar.
Por exemplo, a Apple proíbe contas que enviam grande volume de mensagens para vários destinatários, e o Google implementou recentemente uma restrição que impede dispositivos Android rooteados de enviar ou receber mensagens RCS.
Os cibercriminosos tentam contornar essas limitações criando várias IDs da Apple e usando fazendas de dispositivos para enviar um pequeno número de mensagens de cada dispositivo.
Um obstáculo mais desafiador é uma salvaguarda no iMessage que só permite que os destinatários cliquem em um link de URL se tiverem respondido à mensagem.
Para contornar essa medida, a mensagem de phishing instrui o destinatário a responder com um 'Y' ou '1' e então reabrir a mensagem para seguir o link.
Este processo pode criar atrito que pode reduzir a eficácia do ataque de phishing.
Os usuários devem tratar todas as mensagens recebidas que os induzam a clicar em URLs com suspeita, especialmente se o remetente não for reconhecido.
Independentemente da plataforma ou aplicativo, os atores da ameaça de phishing continuarão experimentando novos métodos de entrega.
Os pesquisadores da Netcraft também recomendam prestar atenção em erros gramaticais, erros de ortografia, ofertas excessivamente atrativas ou chamadas para ações urgentes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...