Un nouveau phishing en tant que service (PhaaS) nommé « Darcula » utilise 20 000 domaines pour usurper les marques et voler les informations d’identification des utilisateurs d’Android et d’iPhone dans plus de 100 pays.
Darcula a été utilisé contre divers services et organisations, des services postaux, financiers, gouvernementaux, fiscaux, aux opérateurs télécoms, compagnies aériennes, services publics, offrant aux fraudeurs plus de 200 modèles parmi lesquels choisir.
Une chose qui distingue le service est qu’il aborde les cibles en utilisant le protocole Rich Communication Services (RCS) pour Google Messages et iMessage au lieu de SMS pour l’envoi de messages de phishing.
Service d’hameçonnage Darcula
Darcula a été documenté pour la première fois l’été dernier par le chercheur en sécurité Oshri Kalfon, mais les analystes de Netcraft rapportent que la plate-forme est de plus en plus populaire dans le domaine de la cybercriminalité et a récemment été utilisée dans plusieurs affaires très médiatisées.
« La plate-forme Darcula a été utilisée pour de nombreuses attaques de phishing très médiatisées au cours de la dernière année, y compris des messages reçus sur des appareils Apple et Android au Royaume-Uni, ainsi que des escroqueries par colis usurpant l’identité du United States Postal Service (USPS) mis en évidence dans de nombreux messages sur Reddit /r/phishing. »- Netcraft
Contrairement aux méthodes de phishing traditionnelles, Darcula utilise des technologies modernes telles que JavaScript, React, Docker et Harbor, permettant des mises à jour continues et de nouvelles fonctionnalités sans que les clients aient besoin de réinstaller les kits de phishing.
Le kit de phishing propose 200 modèles de phishing qui usurpent l’identité de marques et d’organisations dans plus de 100 pays. Les pages de destination sont de haute qualité et utilisent la langue locale, les logos et le contenu corrects.
Les fraudeurs sélectionnent une marque à usurper et exécutent un script d’installation qui installe le site de phishing correspondant et son tableau de bord de gestion directement dans un environnement Docker.
Le système utilise le port de registre de conteneurs open source pour héberger l’image Docker, tandis que les sites de phishing sont développés à l’aide de React.
Les chercheurs disent que le service Darcula utilise généralement “.les domaines de premier niveau” et “.com » pour héberger des domaines enregistrés à des fins pour les attaques de phishing, tandis qu’environ un tiers d’entre eux sont soutenus par Cloudflare.
Netcraft a mappé 20 000 domaines Darcula sur 11 000 adresses IP, avec 120 nouveaux domaines ajoutés quotidiennement.
Abandonner les SMS
Darcula s’écarte des tactiques traditionnelles basées sur les SMS et utilise à la place RCS (Android) et iMessage (iOS) pour envoyer aux victimes des messages contenant des liens vers l’URL de phishing.
L’avantage de ceci est que les destinataires sont plus susceptibles de percevoir la communication comme légitime, faisant confiance aux garanties supplémentaires qui ne sont pas disponibles dans les SMS.
De plus, comme RCS et iMessage prennent en charge le cryptage de bout en bout, il est impossible d’intercepter et de bloquer les messages de phishing en fonction de leur contenu.
Netcraft commente que les récents efforts législatifs mondiaux visant à freiner la cybercriminalité basée sur les SMS en bloquant les messages suspects poussent probablement les plates-formes PhaaS vers des protocoles alternatifs tels que RCS et iMessage.
Cependant, ces protocoles comportent leurs propres ensembles de restrictions que les cybercriminels doivent surmonter.
Par exemple, Apple interdit aux comptes d’envoyer de gros volumes de messages à plusieurs destinataires, et Google a récemment mis en place une restriction empêchant les appareils Android enracinés d’envoyer ou de recevoir des messages RCS.
Les cybercriminels tentent de contourner ces limitations en créant plusieurs identifiants Apple et en utilisant des entreprises d’appareils pour envoyer un petit nombre de messages à partir de chaque appareil.
Un obstacle plus difficile est une sauvegarde dans iMessage qui permet uniquement aux destinataires de cliquer sur un lien URL s’ils ont répondu au message.
Pour contourner cette mesure, le message de phishing demande au destinataire de répondre par un » Y « ou un « 1 », puis de rouvrir le message pour suivre le lien. Ce processus peut créer des frictions qui pourraient réduire l’efficacité de l’attaque de phishing.
Les utilisateurs doivent traiter tous les messages entrants les incitant à cliquer sur les URL avec suspicion, surtout si l’expéditeur n’est pas reconnu. Quelle que soit la plate-forme ou l’application, les auteurs de menaces de phishing continueront d’expérimenter de nouvelles méthodes de livraison.
Les chercheurs de Netcraft recommandent également de prêter attention à la grammaire inexacte, aux fautes d’orthographe, aux offres trop attrayantes ou aux appels à des actions urgentes.