Darcula Phishing Kit
Ha surgido un nuevo Phishing-as-a-Service (PaaS) conocido como 'Darcula', que utiliza la asombrosa cantidad de 20.000 dominios para imitar marcas de buena reputación y robar credenciales de inicio de sesión principalmente de usuarios de Android y iPhone en más de 100 países. Esta sofisticada herramienta se ha utilizado contra una amplia gama de servicios y organizaciones que abarcan departamentos postales, financieros, gubernamentales y fiscales, así como empresas de telecomunicaciones, aerolíneas y proveedores de servicios públicos. Cuenta con un amplio arsenal de más de 200 plantillas, lo que proporciona a los estafadores una amplia selección para adaptar sus campañas engañosas.
Lo que distingue a Darcula es su utilización estratégica del protocolo Rich Communication Services (RCS) para plataformas como Google Messages e iMessage en lugar de depender de los SMS tradicionales para difundir mensajes de phishing. Este enfoque mejora la eficacia de sus ataques al aprovechar las capacidades mejoradas de RCS, lo que potencialmente aumenta la tasa de éxito de los intentos de phishing.
Tabla de contenido
La plataforma de phishing Darcula está ganando terreno entre los ciberdelincuentes
Los investigadores han observado una tendencia creciente en el ámbito del ciberdelito con la creciente popularidad de la plataforma de phishing Darcula. Esta plataforma ha estado implicada en numerosos ataques de phishing destacados durante el año pasado, dirigidos a usuarios de dispositivos Apple y Android en el Reino Unido, además de orquestar estafas de paquetes que se hacen pasar por el Servicio Postal de los Estados Unidos (USPS). A diferencia de las técnicas de phishing tradicionales, Darcula aprovecha tecnologías modernas como JavaScript, React, Docker y Harbour, lo que facilita actualizaciones continuas y la perfecta integración de nuevas funciones sin necesidad de que los clientes vuelvan a instalar los kits de phishing.
El kit de phishing que ofrece Darcula comprende una colección de 200 plantillas diseñadas para hacerse pasar por marcas y organizaciones en más de 100 países. Estas plantillas cuentan con páginas de destino de alta calidad localizadas con lenguaje, logotipos y contenido precisos.
Para configurar una campaña de phishing, los estafadores eligen una marca para hacerse pasar por ella y ejecutan un script de configuración, que instala el sitio de phishing correspondiente junto con su panel de administración directamente en un entorno Docker. El sistema emplea el registro de contenedores de código abierto Harbor para alojar imágenes de Docker, mientras que los sitios de phishing se desarrollan utilizando React.
Según los investigadores, el servicio Darcula normalmente utiliza dominios de nivel superior como '.top' y '.com' para alojar dominios registrados específicamente para sus ataques de phishing. Aproximadamente un tercio de estos dominios cuentan con el respaldo de Cloudflare, una red de distribución de contenidos y una empresa de seguridad de Internet ampliamente utilizada.
Darcula se aleja de los canales y métodos de phishing establecidos
Darcula rompe con las tácticas convencionales basadas en SMS al aprovechar Rich Communication Services (RCS) para Android e iMessage para iOS para enviar mensajes que contienen enlaces a URL de phishing a las víctimas. Este enfoque ofrece varias ventajas, ya que los destinatarios son más propensos a percibir dichas comunicaciones como genuinas, confiando en las medidas de seguridad adicionales inherentes a RCS e iMessage, que no están disponibles en SMS. Además, debido al cifrado de extremo a extremo admitido por RCS e iMessage, interceptar y bloquear mensajes de phishing en función de su contenido se vuelve inviable.
Los recientes esfuerzos legislativos en todo el mundo destinados a combatir el ciberdelito basado en SMS mediante la obstrucción de mensajes sospechosos probablemente estén impulsando a las plataformas de phishing como servicio (PaaS) a explorar protocolos alternativos como RCS e iMessage. Sin embargo, estos protocolos conllevan sus propios desafíos que los ciberdelincuentes deben afrontar.
Por ejemplo, Apple impone restricciones a las cuentas que envían grandes volúmenes de mensajes a múltiples destinatarios. Al mismo tiempo, Google ha introducido recientemente una limitación que impide que los dispositivos Android rooteados envíen o reciban mensajes RCS. Los ciberdelincuentes intentan eludir estas limitaciones creando numerosos ID de Apple y utilizando granjas de dispositivos para enviar una pequeña cantidad de mensajes desde cada dispositivo.
Un obstáculo más formidable reside en una protección de iMessage que permite a los destinatarios hacer clic en un enlace URL sólo después de responder al mensaje. Para eludir esta medida, el mensaje de phishing solicita al destinatario que responda con una 'Y' o un '1' antes de volver a abrir el mensaje para acceder al enlace. Este paso adicional puede introducir fricciones, lo que podría disminuir la eficacia del ataque de phishing.
¿Cómo reconocer el phishing o mensajes dudosos?
Es fundamental que los usuarios adopten un enfoque cauteloso ante cualquier mensaje entrante que les solicite hacer clic en las URL, especialmente si el remitente no está familiarizado. Los actores de amenazas de phishing innovan continuamente en nuevos métodos de entrega en diversas plataformas y aplicaciones, lo que hace que sea esencial que los usuarios permanezcan atentos. Los investigadores aconsejan a los usuarios que tengan cuidado con señales como gramática incorrecta, errores ortográficos, ofertas demasiado atractivas o demandas de acción inmediata, ya que son tácticas comunes empleadas por las tácticas de phishing.
