Darcula Phishing Kit
Un nouveau Phishing-as-a-Service (PaaS) connu sous le nom de « Darcula » a fait surface, utilisant un nombre impressionnant de 20 000 domaines pour imiter des marques réputées et voler les informations de connexion principalement aux utilisateurs d'Android et d'iPhone dans plus de 100 pays. Cet outil sophistiqué a été utilisé contre un large éventail de services et d'organisations couvrant les services postaux, financiers, gouvernementaux et fiscaux, ainsi que les sociétés de télécommunications, les compagnies aériennes et les fournisseurs de services publics. Il dispose d'un arsenal étendu de plus de 200 modèles, offrant aux fraudeurs un large choix pour adapter leurs campagnes trompeuses.
Ce qui distingue Darcula, c'est son utilisation stratégique du protocole Rich Communication Services (RCS) pour des plateformes telles que Google Messages et iMessage, au lieu de s'appuyer sur les SMS traditionnels pour diffuser des messages de phishing. Cette approche améliore l'efficacité de ses attaques en tirant parti des capacités améliorées du RCS, augmentant potentiellement le taux de réussite des tentatives de phishing.
Table des matières
La plateforme de phishing Darcula gagne du terrain parmi les cybercriminels
Les chercheurs ont observé une tendance croissante dans le domaine de la cybercriminalité avec la popularité croissante de la plateforme de phishing Darcula. Cette plate-forme a été impliquée dans de nombreuses attaques de phishing importantes au cours de l'année écoulée, ciblant les utilisateurs d'appareils Apple et Android au Royaume-Uni, ainsi que dans l'orchestration d'arnaques à colis usurpant l'identité du service postal des États-Unis (USPS). Contrairement aux techniques de phishing traditionnelles, Darcula exploite des technologies modernes telles que JavaScript, React, Docker et Harbor, facilitant les mises à jour continues et l'intégration transparente de nouvelles fonctionnalités sans obliger les clients à réinstaller des kits de phishing.
Le kit de phishing proposé par Darcula comprend une collection de 200 modèles conçus pour usurper l'identité de marques et d'organisations dans plus de 100 pays. Ces modèles comportent des pages de destination de haute qualité localisées avec une langue, des logos et un contenu précis.
Pour mettre en place une campagne de phishing, les fraudeurs choisissent une marque pour usurper l'identité et exécutent un script de configuration, qui installe le site de phishing correspondant ainsi que son tableau de bord de gestion directement dans un environnement Docker. Le système utilise le registre de conteneurs open source Harbor pour héberger les images Docker, tandis que les sites de phishing eux-mêmes sont développés à l'aide de React.
Selon les chercheurs, le service Darcula utilise généralement des domaines de premier niveau tels que « .top » et « .com » pour héberger des domaines spécifiquement enregistrés pour leurs attaques de phishing. Environ un tiers de ces domaines sont pris en charge par Cloudflare, un réseau de diffusion de contenu et une société de sécurité Internet largement utilisé.
Darcula s’éloigne des canaux et méthodes de phishing établis
Darcula s'éloigne des tactiques conventionnelles basées sur les SMS en tirant parti des Rich Communication Services (RCS) pour Android et iMessage pour iOS pour envoyer aux victimes des messages contenant des liens vers des URL de phishing. Cette approche offre plusieurs avantages, car les destinataires sont plus enclins à percevoir ces communications comme authentiques, faisant confiance aux mesures de sécurité supplémentaires inhérentes à RCS et iMessage, qui ne sont pas disponibles dans les SMS. De plus, en raison du cryptage de bout en bout pris en charge par RCS et iMessage, l'interception et le blocage des messages de phishing en fonction de leur contenu deviennent impossibles.
Les efforts législatifs récents dans le monde entier visant à lutter contre la cybercriminalité basée sur les SMS en bloquant les messages suspects incitent probablement les plateformes de phishing en tant que service (PaaS) à explorer des protocoles alternatifs tels que RCS et iMessage. Cependant, ces protocoles comportent leurs propres défis que les cybercriminels doivent relever.
Par exemple, Apple impose des restrictions sur les comptes qui envoient de gros volumes de messages à plusieurs destinataires. Dans le même temps, Google a récemment introduit une limitation empêchant les appareils Android rootés d'envoyer ou de recevoir des messages RCS. Les cybercriminels tentent de contourner ces contraintes en créant de nombreux identifiants Apple et en utilisant des fermes d'appareils pour envoyer un petit nombre de messages depuis chaque appareil.
Un obstacle plus redoutable réside dans une protection iMessage qui permet aux destinataires de cliquer sur un lien URL uniquement après avoir répondu au message. Pour contourner cette mesure, le message de phishing invite le destinataire à répondre par un « Y » ou un « 1 » avant de rouvrir le message pour accéder au lien. Cette étape supplémentaire peut introduire des frictions, diminuant potentiellement l’efficacité de l’attaque de phishing.
Comment reconnaître le phishing ou les messages douteux ?
Il est crucial que les utilisateurs adoptent une approche prudente à l'égard de tout message entrant les invitant à cliquer sur des URL, en particulier si l'expéditeur n'est pas familier. Les auteurs de menaces de phishing innovent continuellement en matière de nouvelles méthodes de diffusion sur diverses plates-formes et applications, ce qui rend essentiel que les utilisateurs restent vigilants. Les chercheurs conseillent aux utilisateurs de se méfier des signes tels qu'une grammaire incorrecte, des fautes d'orthographe, des offres trop alléchantes ou des demandes d'action immédiate, car ce sont des tactiques courantes utilisées par les tactiques de phishing.
