Компания Netcraft обнаружилановый фишинговый сервис Darcula, который использует более на 20 000 доменов для имитации популярных брендов и кражи учетных данных пользователей Android и iPhone в более чем 100 странах.
PHaaS-сервис Darcula выделяется на фоне других подобных сервисов своим подходом к дистрибуции фишинговых сообщений: вместо традиционных SMS злоумышленники используют RCS-протоколы (Rich Communication Services) для Google Messages и iMessage, из-за чего сообщения выглядят более убедительно и обходят некоторые меры безопасности.
Сервис предлагает своим клиентам более 200 шаблонов для создания фишинговых страниц, которые имитируют интерфейсы известных организаций, включая финансовые учреждения, государственные службы, телекоммуникационные компании и авиакомпании. Созданные страницы отличаются высоким качеством, используют локальные языки, логотипы и контент.
Фишинговые шаблоны различных сервисов
Киберпреступники выбирают бренд для имитации и запускают скрипт установки, который разворачивает соответствующий фишинговый сайт в Docker-окружении. Система использует открытый регистр контейнеров Harbor для хостинга Docker-образа, а сами сайты разрабатываются на React.
Аналитики Netcraft отмечают, что Darcula обычно использует домены верхнего уровня “.top” и “.com” для хостинга фишинговых атак, причем около трети из них защищены Cloudflare. Всего было отмечено 20 000 доменов, связанных с Darcula, расположенных на 11 000 IP-адресах. Отмечается, что ежедневно добавляется около около 120 новых доменов.
Отказ от использования SMS и переход на RCS и iMessage делает фишинговые сообщения менее подверженными блокировке на основе контента благодаря поддержке сквозного шифрования (End-to-End Encryption, E2EE). Нововведения в законодательстве, направленные на борьбу с киберпреступностью через SMS, скорее всего, стимулировали переход на такие протоколы.
Преимущество использования RCS заключается в том, что получатели с большей вероятностью поверят сообщению, доверившись дополнительным гарантиям, недоступным в SMS.
RCS-сообщение, направляющее жертв на фишинговый сайт
Пользователям следует быть осторожными со всеми входящими сообщениями, которые призывают перейти по ссылкам, особенно если отправитель неизвестен. Неточности в грамматике, орфографические ошибки, слишком привлекательные предложения или призывы к срочным действиям должны вызывать подозрение.