Een geavanceerd phishing-as-a-service (PhaaS) platform genaamd Darcula heeft zijn zinnen gezet op organisaties in meer dan 100 landen door gebruik te maken van een enorm netwerk van meer dan 20.000 namaakdomeinen om cybercriminelen te helpen aanvallen op grote schaal uit te voeren.
“Het gebruik van iMessage en RCS in plaats van sms om sms-berichten te verzenden heeft als neveneffect dat sms-firewalls worden omzeild, wat met groot succes wordt gebruikt om USPS te targeten, samen met postdiensten en andere gevestigde organisaties in meer dan 100 landen”, aldus Netcraft.
Darcula is het afgelopen jaar betrokken geweest bij verschillende spraakmakende phishing-aanvallen, waarbij de smishing-berichten naar zowel Android- als iOS-gebruikers in het Verenigd Koninkrijk worden verzonden, naast de berichten die gebruik maken van de lokmiddelen voor pakketbezorging door zich voor te doen als legitieme diensten zoals USPS.
Darcula, een Chineestalige PhaaS, wordt geadverteerd op Telegram en biedt ondersteuning voor ongeveer 200 sjablonen die legitieme merken nabootsen, waar klanten tegen een maandelijks bedrag gebruik van kunnen maken om phishing-sites op te zetten en hun kwaadaardige activiteiten uit te voeren.
Het merendeel van de sjablonen is ontworpen om postdiensten na te bootsen, maar ze omvatten ook openbare en particuliere nutsbedrijven, financiële instellingen, overheidsinstanties (bijvoorbeeld belastingdiensten), luchtvaartmaatschappijen en telecommunicatieorganisaties.
De phishing-sites worden gehost op speciaal geregistreerde domeinen die de respectieve merknamen vervalsen om een laagje legitimiteit toe te voegen. Deze domeinen worden ondersteund door Cloudflare, Tencent, Quadranet en Multacom.
In totaal zijn er meer dan 20.000 Darcula-gerelateerde domeinen op 11.000 IP-adressen gedetecteerd, waarbij sinds begin 2024 gemiddeld 120 nieuwe domeinen per dag worden geïdentificeerd. Sommige aspecten van de PhaaS-service werden in juli 2023 onthuld door de Israëlische veiligheidsonderzoeker Oshri. Kalfon.
Een van de interessante toevoegingen aan Darcula is de mogelijkheid om phishing-sites bij te werken met nieuwe functies en anti-detectiemaatregelen zonder de phishing-kit te hoeven verwijderen en opnieuw te installeren.
“Op de voorpagina tonen Darcula-sites een nepdomein te koop/bewaarpagina, waarschijnlijk als een vorm van cloaking om de verwijderingsinspanningen te verstoren”, aldus het Britse bedrijf. “In eerdere versies zou het anti-monitoringmechanisme van Darcula bezoekers waarvan wordt aangenomen dat het bots zijn (in plaats van potentiële slachtoffers) omleiden naar Google-zoekopdrachten voor verschillende kattenrassen.”
De smishing-tactieken van Darcula verdienen ook speciale aandacht, omdat ze voornamelijk gebruikmaken van Apple iMessage en het RCS-protocol (Rich Communication Services) dat in Google Messages wordt gebruikt in plaats van sms, waardoor bepaalde filters worden omzeild die door netwerkoperators zijn ingesteld om te voorkomen dat oplichtingsberichten worden afgeleverd bij potentiële slachtoffers. .
“Hoewel end-to-end-encryptie in RCS en iMessage waardevolle privacy biedt voor eindgebruikers, stelt het criminelen ook in staat om de door deze wetgeving vereiste filtering te omzeilen door de inhoud van berichten onmogelijk te maken voor netwerkoperators om te onderzoeken, waardoor de apparaten van Google en Apple achterblijven. spamdetectie en spamfilter-apps van derden als de belangrijkste verdedigingslinie die voorkomt dat deze berichten de slachtoffers bereiken”, aldus Netcraft.
“Bovendien brengen ze geen kosten per bericht in rekening, wat typisch is voor sms, waardoor de bezorgkosten dalen.”
Afgezien van het afwijken van traditionele sms-gebaseerde phishing, is een ander opmerkelijk aspect van Darcula's smishing-berichten hun stiekeme poging om een veiligheidsmaatregel in iMessage te omzeilen die verhindert dat links kunnen worden aangeklikt, tenzij het bericht afkomstig is van een bekende afzender.
Dit houdt in dat het slachtoffer wordt geïnstrueerd om te antwoorden met een “Y” of “1” bericht en vervolgens het gesprek opnieuw te openen om de link te volgen. Een voorbeeld van zo'n bericht dat op de subreddit r/phishing is geplaatst, laat zien dat gebruikers worden overgehaald om op de URL te klikken door te beweren dat ze een onvolledig afleveradres voor het USPS-pakket hebben opgegeven.
Deze iMessages worden verzonden vanaf e-mailadressen zoals [email protected] en [email protected], wat aangeeft dat de bedreigingsactoren achter de operatie valse e-mailaccounts aanmaken en deze bij Apple registreren om de berichten te verzenden.
Google heeft op zijn beurt onlangs gezegd dat het de mogelijkheid blokkeert om berichten te verzenden met behulp van RCS op geroote Android-apparaten om spam en misbruik te verminderen.
Het uiteindelijke doel van deze aanvallen is om de ontvangers te misleiden zodat ze valse sites bezoeken en hun persoonlijke en financiële gegevens aan de fraudeurs overhandigen. Er zijn aanwijzingen dat Darcula zich richt op Chineessprekende e-criminaliteitsgroepen.
Phishing-kits kunnen ernstige gevolgen hebben, omdat het minder ervaren criminelen in staat stelt veel van de stappen die nodig zijn om een aanval uit te voeren te automatiseren, waardoor de toegangsbarrières worden verlaagd.
De ontwikkeling komt te midden van een nieuwe golf van phishing-aanvallen die profiteren van de functie voor het opnieuw instellen van wachtwoorden van Apple. het bombarderen van gebruikers met wat een snelle bombardementsaanval (ook wel MFA-moeheid genoemd) wordt genoemd, in de hoop hun accounts te kapen.
Ervan uitgaande dat een gebruiker erin slaagt alle verzoeken te weigeren, “zullen de oplichters het slachtoffer bellen terwijl ze Apple-ondersteuning voor de gek houden in de beller-ID, waarbij ze zeggen dat het account van de gebruiker wordt aangevallen en dat Apple-ondersteuning een eenmalige code moet 'verifiëren'”, zei veiligheidsjournalist Brian Krebs.
Het is gebleken dat de voice phishers informatie over slachtoffers, verkregen van mensen die websites doorzoeken, gebruiken om de kans op succes te vergroten en er uiteindelijk voor zorgen dat er een Apple ID-resetcode naar het apparaat van de gebruiker wordt gestuurd. reset het wachtwoord voor het account en vergrendel de gebruiker.
Er wordt vermoed dat de daders misbruik maken van een tekortkoming op de wachtwoordherstelpagina op iforgot.apple[.]com om tientallen verzoeken om wachtwoordwijziging te verzenden op een manier die snelheidsbeperkende beveiligingen omzeilt.
De bevindingen volgen ook uit onderzoek van FACCT dat SIM-swappers het telefoonnummer van een beoogde gebruiker overbrengen naar hun eigen apparaat met een ingebouwde SIM (eSIM) om ongeoorloofde toegang te krijgen tot de online diensten van het slachtoffer. Er wordt gezegd dat de praktijk al minstens een jaar in het wild wordt toegepast.
Dit wordt bereikt door een applicatie op de website of applicatie van de operator te starten om het nummer over te zetten van een fysieke simkaart naar een eSIM door zich voor te doen als slachtoffer, waardoor de legitieme eigenaar de toegang tot het nummer verliest zodra de eSIM QR-code wordt gegenereerd. en geactiveerd.
“Nadat cybercriminelen toegang hebben gekregen tot het mobiele telefoonnummer van het slachtoffer, kunnen ze toegangscodes en tweefactorauthenticatie verkrijgen voor verschillende diensten, waaronder banken en boodschappers, waardoor criminelen een groot aantal mogelijkheden krijgen om frauduleuze plannen uit te voeren”, aldus veiligheidsonderzoeker Dmitry Dudkov.
