近日,研究人员发现一种名为 "Darcula "的新型网络钓鱼即服务(PhaaS)使用 20000 个虚假域名,盗取了大量 Android 和 iPhone 用户的凭证。
Darcula 目前已被用于针对全球 100 多个国家的各种服务和组织,涵盖了邮政、金融、政府、税务部门、电信公司、航空公司公用事业公司,为威胁攻击者提供了 200 多个“模板”供其选择。
值得一提的是,Darcula 服务与其它类型的钓鱼服务有一些差别,它主要使用谷歌信息和 iMessage 的富通信服务(RCS)协议发送钓鱼信息(其它类型的钓鱼服务大都使用短信)。
Darcula 网络钓鱼服务
安全研究人员 Oshri Kalfon 去年夏天首次记录了 Darcula 网络钓鱼服务。Netcraft 分析师指出,目前该服务在网络犯罪领域越来越受欢迎,已经被用于几起备受瞩目的案件中。
相比传统网络钓鱼服务,Darcula 采用了 JavaScript、React、Docker 和 Harbor 等现代技术,成功实现了持续更新和新功能添加,“客户”无需重新安装网络钓鱼工具包。
从研究人员透露的信息来看,Darcula 网络钓鱼工具包提供 200 个网络钓鱼模板,可假冒 100 多个国家的品牌和组织。不仅如此,Darcula 使用了正确的本地语言、徽标和内容,虚假登陆页面质量非常高。
Darcula 工具包中的登陆页面(Netcraft)
威胁攻击者只需选择一个想要假冒的组织品牌,然后运行一个设置脚本,将相应的钓鱼网站及其管理面板直接安装到 Docker 环境中。
研究人员指出,Darcula 服务通常使用".top "和".com "顶级域名来托管用于钓鱼攻击的目的注册域名,其中大约三分之一的域名由 Cloudflare 支持。Netcraft 已经成功绘制了横跨 11000 个 IP 地址的 20000 个 Darcula 域名。(据悉,欺诈域名以每天 120 个的数量激增)
Darcula 服务放弃了短信欺诈
Darcula 服务放弃了传统的基于短信的策略,改为利用 RCS(Android)和 iMessage(iOS)向受害者发送带有钓鱼 URL 链接的信息,这样做收件人更容易上当。此外,由于 RCS 和 iMessage 支持端到端加密,因此无法根据其内容拦截和阻止网络钓鱼信息。
从 Darcula 发送的 RCS 消息(Netcraft)
Netcraft 表示,全球范围内正在加紧通过遏制基于短信的网络犯罪活动的立法,以期推动 PhaaS 平台转向 RCS 和 iMessage 等替代协议,但这些协议都有自身的局限性。例如,苹果禁止账户向多个收件人发送大量信息,谷歌最近也实施了一项限制措施,禁止已 root 的安卓设备发送或接收 RCS 信息。
然而,网络犯罪分子试图通过创建多个 Apple ID 和使用大量设备,从每个设备中发送处少量信息来规避这些限制。
此外,iMessage 中还有一项保护措施,即只有收件人回复了信息,才被允许点击 URL 链接。为了绕过这些防御措施,钓鱼信息指示收件人回复 "Y "或"1",然后重新打开信息,点击链接。
通过 iMessage 发送的钓鱼信息(Netcraft)
最后,研究人员强调,用户应该以怀疑的态度对待所有催促其点击 URL 链接的信息,尤其是在发件人不明确的情况下。
参考文章:https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/