Darcula phishing platforma

AUTOR ·

Darcula phishing platforma se nudi po modelu phishing kao usluga (eng. phishing-as-a-service – PhaaS) i trenutno koristi preko 20.000 domena za oponašanje brendova i krađu akreditiva od Android i iPhone korisnika u 100 zemalja.

Darcula

Darcula phishing platforma; Source: Bing Image Creator

DARCULA

Darcula je PhaaS platforma na kineskom jeziku koju je razvio Telegram korisnik sa istim imenom, koja nudi jednostavnu primjenu phishing stranica sa stotinama šablona koji ciljaju na svjetske brendove. Kao i druge PhaaS platforme, Darcula platforma nudi mogućnost mjesečne pretplate drugim zlonamjernim akterima.

Za razliku od tipičnih kompleta za krađu identiteta (eng. phishing kits), Darcula phishing internet lokacije mogu da se ažuriraju kako bi dodale nove funkcije i mjere protiv detekcije. Ovo olakšava tekuće ažuriranje i integraciju novih funkcija bez potrebe da klijenti ponovo instaliraju komplete za krađu identiteta kao bi imali koristi od ovih ažuriranja.

Darcula phishing platforma je prvobitno izašla na vidjelo prošlog ljeta, međutim analitičari su sada primijetili porast njene popularnosti u domenu sajber kriminala, kada je otkrivena njena nedavna umješnost u brojne istaknute incidente. Ova platforma cilja široku lepezu usluga i institucija, obuhvatajući poštanske, finansijske, vladine i poreske službe, kao i telekomunikacije, avio-kompanije i komunalna preduzeća, pružajući zlonamjernim akterima pristup preko 200 šablona.

Ono što izdvaja ovu uslugu je njeno korištenje protokola Rich Communication ServicesRCS u okviru Google Messages i iMessage aplikacija, udaljavajući se od konvencionalnog SMS metoda da bi se postigao cilj pomoću phishing poruka. Za razliku od uobičajenih phishing tehnika, Darcula koristi savremene tehnologije kao što su JavaScript, React, Docker i Harbor.

 

FUNKCIONISANJE

Komplet za phishing ima kolekciju od 200 šablona dizajniranih da oponašaju brendove i organizacije u preko 100 zemalja. Ove odredišne stranice su vrhunskog kvaliteta i sadrže tačan lokalni jezik, logotipe i sadržaj. Prevaranti biraju brend da oponašaju i izvrše skriptu za podešavanje, koja zatim instalira odgovarajuću internet lokaciju za phishing zajedno sa njenom kontrolnom tablom direktno u Docker okruženje.

Sistem koristi registar kontejnera otvorenog kôda Harbor za Docker hostovanje, dok se phishing stranice razvijaju pomoću React JavaScript biblioteke. Prema podacima sigurnosnih istraživačaDarcula platforma koristi “top” i “com” domene najvišeg nivoa za hostovanje namjenski registrovanih domena za phishing napade, pri čemu otprilike jednu trećinu ovih domena podržava Cloudflare. Identifikovano je 20.000 Darcula domena na 11.000 IP adresa, a dnevno se dodaje 120 novih domena.

 

NAPUŠTANJE SMS PORUKA

Darcula phishing platforma ne koristi tradicionalne taktike napada zasnovane na SMS porukama, već koristi RCS za Android operativni sistem i iMessage za iOS operativni sistem za distribuciju poruka koje sadrže linkove ka phishing internet adresama. Ovaj pristup nudi prednost za napadače, jer primaoci smatraju komunikaciju legitimnom zbog dodatnih zaštitnih mjera koje nisu dostupne kada je riječ o SMS porukama. Pošto RCS i iMessage podržavaju enkripciju od kraja do kraja, presretanje i blokiranje phishing poruka na osnovu njihovog sadržaja postaje nemoguće.

 

“Korištenje iMessage i RCS umjesto SMS za slanje tekstualnih poruka ima neželjeni efekat zaobilaženja SMS zaštitnih zidova, koji se sa velikim efektom koriste za ciljanje USPS  zajedno sa poštanskim službama i drugim etabliranim organizacijama u više od 100 zemalja.”

 Netcraft

 

Razlog zašto zlonamjerni akteri koriste RCS i iMessage se vjerovatno krije u globalnim naporima zakonskog regulisanja borbe protiv sajber kriminala kada je riječ o zloupotrebi SMS poruka. Međutim, ovi protokoli predstavljaju neke njima svojstvene izazove koje zlonamjerni akteri moraju da prevaziđu. Kompanija Apple zabranjuje naloge koji šalju velike količine poruka brojnim primaocima, dok kompanija Google od nedavno ima ograničenje koje sprečava da Android uređaji sa otključanim root pristupom šalju ili primaju RCS poruke.

Uprkos ovim ograničenjima, zlonamjerni akteri koji stoje za Darcula phishing platforme koriste različite taktike da zaobiđu ograničenja, uključujući kreiranje više Apple ID naloga i korištenje farmi uređaja za slanje poruka. Pored toga, phishing poruke upućuju primaoce da odgovore pre nego što pristupe linkovima, unoseći opciju koje može da umanji efikasnost napada.

 

ZAKLJUČAK

Sigurnosni istraživači u posljednje vrijeme upozoravaju na porast PhaaS platformi na Mračnom internetu. Sam model phishing kao usluga omogućava zlonamjernim akterima da plaćaju drugima da koriste njihove komplete za phishing koji mogu uključivati phishing stranice, lažne internet stranice, liste kontakata meta i šablone elektronske pošte, bilo da se radi o mjesečnoj preplati ili da ponekad dijele dio dobijenog novca. U ovom slučaju, sama Darcula PhaaS platforma olakšava i onima bez nekog posebnog tehničkog znanja da pokrenu napad, što predstavlja značajnu prijetnju digitalnoj bezbjednosti, iskorištavajući pouzdane komunikacione platforme za vršenje phishing napada na korisnike.

 

ZAŠTITA

Razumijevanjem prirode ovih napada i preduzimanjem proaktivnih koraka zaštite, korisnici se mogu zaštiti od ove podmukle prijetnje prateći i neke od sljedećih savjeta:

  • Potrebno je biti oprezan sa dolaznim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Korištenje provjerenih sigurnosnih riješenja opremljenih naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Sva preuzimanja na internetu trebaju biti obavljena sa zvaničnih i provjerenih kanala,
  • Biti oprezan prilikom pretraživanja interneta, jer lažni i opasni sadržaji obično izgledaju autentični i bezopasni,
  • Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada,
  • Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
  • Biti redovno informisan o najnovijim dešavanjima i trendovima u domenu sajber bezbjednosti uz usvajanje proaktivne bezbjednosne strategije, jer to predstavlja ključ za očuvanje osjetljivih informacija i zaštite od zlonamjernih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.