Darcula Phishing-Kit
Ein neu aufgetauchter Phishing-as-a-Service (PaaS) namens „Darcula“ ist aufgetaucht und nutzt unglaubliche 20.000 Domains, um seriöse Marken nachzuahmen und Anmeldeinformationen hauptsächlich von Android- und iPhone-Benutzern in mehr als 100 Ländern zu stehlen. Dieses hochentwickelte Tool wurde bei einer Vielzahl von Diensten und Organisationen eingesetzt, darunter Post-, Finanz-, Regierungs- und Steuerbehörden sowie Telekommunikationsunternehmen, Fluggesellschaften und Versorgungsunternehmen. Es verfügt über ein umfangreiches Arsenal von über 200 Vorlagen und bietet Betrügern eine große Auswahl, um ihre betrügerischen Kampagnen individuell anzupassen.
Was Darcula auszeichnet, ist die strategische Nutzung des Rich Communication Services (RCS)-Protokolls für Plattformen wie Google Messages und iMessage, anstatt sich bei der Verbreitung von Phishing-Nachrichten auf herkömmliche SMS zu verlassen. Dieser Ansatz erhöht die Wirksamkeit seiner Angriffe, indem er die erweiterten Fähigkeiten von RCS nutzt und möglicherweise die Erfolgsquote von Phishing-Versuchen erhöht.
Inhaltsverzeichnis
Die Phishing-Plattform Darcula erfreut sich bei Cyberkriminellen immer größerer Beliebtheit
Forscher haben mit der wachsenden Beliebtheit der Phishing-Plattform Darcula einen steigenden Trend im Bereich der Cyberkriminalität beobachtet. Diese Plattform war im vergangenen Jahr in zahlreiche prominente Phishing-Angriffe verwickelt, die sowohl auf Benutzer von Apple- als auch Android-Geräten in Großbritannien abzielten und Paketbetrug inszenierten, der sich als der United States Postal Service (USPS) ausgab. Im Gegensatz zu herkömmlichen Phishing-Techniken nutzt Darcula moderne Technologien wie JavaScript, React, Docker und Harbor und ermöglicht so kontinuierliche Updates und die nahtlose Integration neuer Funktionen, ohne dass Kunden Phishing-Kits neu installieren müssen.
Das von Darcula angebotene Phishing-Kit umfasst eine Sammlung von 200 Vorlagen, die dazu dienen, sich als Marken und Organisationen in mehr als 100 Ländern auszugeben. Diese Vorlagen verfügen über hochwertige Zielseiten, die mit korrekter Sprache, Logos und Inhalt lokalisiert sind.
Um eine Phishing-Kampagne zu starten, wählen Betrüger eine Marke aus, die sie imitieren möchten, und führen ein Setup-Skript aus, das die entsprechende Phishing-Site zusammen mit ihrem Management-Dashboard direkt in einer Docker-Umgebung installiert. Das System nutzt die Open-Source-Container-Registry Harbor zum Hosten von Docker-Images, während die Phishing-Sites selbst mit React entwickelt werden.
Forschern zufolge nutzt der Darcula-Dienst typischerweise Top-Level-Domains wie „.top“ und „.com“, um speziell registrierte Domains für ihre Phishing-Angriffe zu hosten. Ungefähr ein Drittel dieser Domains werden von Cloudflare unterstützt, einem weit verbreiteten Content-Delivery-Netzwerk und Internet-Sicherheitsunternehmen.
Darcula wendet sich von etablierten Phishing-Kanälen und -Methoden ab
Darcula bricht mit herkömmlichen SMS-basierten Taktiken, indem es Rich Communication Services (RCS) für Android und iMessage für iOS nutzt, um Nachrichten mit Links zu Phishing-URLs an Opfer zu versenden. Dieser Ansatz bietet mehrere Vorteile, da die Empfänger solche Mitteilungen eher als echt wahrnehmen und auf die zusätzlichen Sicherheitsmaßnahmen von RCS und iMessage vertrauen, die bei SMS nicht verfügbar sind. Darüber hinaus ist es aufgrund der von RCS und iMessage unterstützten Ende-zu-Ende-Verschlüsselung unmöglich, Phishing-Nachrichten aufgrund ihres Inhalts abzufangen und zu blockieren.
Jüngste gesetzgeberische Bemühungen weltweit, die darauf abzielen, SMS-basierte Cyberkriminalität durch die Blockierung verdächtiger Nachrichten zu bekämpfen, veranlassen wahrscheinlich Phishing-as-a-Service-Plattformen (PaaS), alternative Protokolle wie RCS und iMessage zu erkunden. Allerdings bringen diese Protokolle ihre eigenen Herausforderungen mit sich, denen sich Cyberkriminelle stellen müssen.
Beispielsweise erlegt Apple Beschränkungen für Konten auf, die große Mengen an Nachrichten an mehrere Empfänger senden. Gleichzeitig hat Google kürzlich eine Einschränkung eingeführt, die verhindert, dass gerootete Android-Geräte RCS-Nachrichten senden oder empfangen. Cyberkriminelle versuchen, diese Einschränkungen zu umgehen, indem sie zahlreiche Apple-IDs erstellen und Gerätefarmen nutzen, um von jedem Gerät eine kleine Anzahl von Nachrichten zu versenden.
Ein schwerwiegenderes Hindernis liegt in einer iMessage-Schutzmaßnahme, die es Empfängern erlaubt, erst auf einen URL-Link zu klicken, nachdem sie auf die Nachricht geantwortet haben. Um diese Maßnahme zu umgehen, fordert die Phishing-Nachricht den Empfänger auf, mit „Y“ oder „1“ zu antworten, bevor er die Nachricht erneut öffnet, um auf den Link zuzugreifen. Dieser zusätzliche Schritt kann zu Reibungen führen und möglicherweise die Wirksamkeit des Phishing-Angriffs verringern.
Wie erkennt man Phishing oder unseriöse Nachrichten?
Für Benutzer ist es wichtig, vorsichtig mit allen eingehenden Nachrichten umzugehen, die sie zum Klicken auf URLs auffordern, insbesondere wenn der Absender unbekannt ist. Phishing-Bedrohungsakteure entwickeln ständig neue Bereitstellungsmethoden für verschiedene Plattformen und Anwendungen, sodass es für Benutzer unerlässlich ist, wachsam zu bleiben. Forscher raten Benutzern, sich vor Anzeichen wie falscher Grammatik, Rechtschreibfehlern, übermäßig verlockenden Angeboten oder Aufforderungen zu sofortigem Handeln in Acht zu nehmen, da dies häufige Taktiken von Phishing-Taktiken sind.
