Usuários do iPhone precisam tomar cuidado com um novo golpe de phishing. Um novo phishing como serviço (PhaaS) chamado Darcula usa 20.000 domínios para falsificar marcas e roubar credenciais de usuários de Android e iPhone em mais de 100 países.
Darcula e o phishing do iPhone
Darcula tem sido usado contra vários serviços e organizações, desde departamentos postais, financeiros, governamentais, fiscais, até empresas de telecomunicações, companhias aéreas, serviços públicos, oferecendo aos fraudadores mais de 200 modelos para escolher. Uma coisa que destaca o serviço é que ele aborda os alvos usando o protocolo Rich Communication Services (RCS) para Google Messages e iMessage em vez de SMS para envio de mensagens de phishing.
Serviço de phishing Darcula
Darcula foi documentado pela primeira vez no verão passado pelo pesquisador de segurança Oshri Kalfon, mas os analistas da Netcraft relatam que a plataforma tem se tornado mais popular no espaço do crime cibernético e foi recentemente usada em vários casos de alto perfil. Ao contrário dos métodos tradicionais de phishing, o Darcula emprega tecnologias modernas como JavaScript, React, Docker e Harbor, permitindo atualizações contínuas e adições de novos recursos sem que os clientes precisem reinstalar os kits de phishing.
O kit de phishing oferece 200 modelos de phishing que se fazem passar por marcas e organizações em mais de 100 países. As páginas de destino são de alta qualidade e usam o idioma, logotipos e conteúdo local corretos.
As fraudes
Os fraudadores selecionam uma marca para se fazer passar e executam um script de configuração que instala o site de phishing correspondente e seu painel de gerenciamento diretamente em um ambiente Docker. O sistema usa o registro de contêineres de código aberto Harbour para hospedar a imagem Docker, enquanto os sites de phishing são desenvolvidos usando React.
De acordo com os pesquisadores, o serviço Darcula normalmente usa domínios de nível superior “.top” e “.com” para hospedar domínios registrados para fins específicos para ataques de phishing, enquanto cerca de um terço deles é apoiado pela Cloudflare.
A Netcraft mapeou 20.000 domínios Darcula em 11.000 endereços IP, com 120 novos domínios sendo adicionados diariamente. Ele diverge das táticas tradicionais baseadas em SMS e, em vez disso, utiliza RCS (Android) e iMessage (iOS) para enviar mensagens às vítimas com links para o URL de phishing.
A vantagem disto é que é mais provável que os destinatários percebam a comunicação como legítima, confiando nas salvaguardas adicionais que não estão disponíveis no SMS. Além disso, como o RCS e o iMessage suportam criptografia de ponta a ponta, é impossível interceptar e bloquear mensagens de phishing com base no seu conteúdo.
A Netcraft comenta que os recentes esforços legislativos globais destinados a reduzir o crime cibernético baseado em SMS, bloqueando mensagens suspeitas, provavelmente estão empurrando as plataformas PhaaS para protocolos alternativos, como RCS e iMessage. No entanto, esses protocolos vêm com seus próprios conjuntos de restrições que os cibercriminosos precisam superar.
Por exemplo, a Apple proíbe contas que enviam grandes volumes de mensagens para vários destinatários, e o Google implementou recentemente uma restrição que impede que dispositivos Android com root enviem ou recebam mensagens RCS.
Os cibercriminosos tentam superar essas limitações criando vários IDs Apple e usando conjuntos de dispositivos para enviar um pequeno número de mensagens de cada dispositivo. Um obstáculo mais desafiador é uma proteção no iMessage que só permite que os destinatários cliquem em um link de URL se tiverem respondido à mensagem.
Para contornar esta medida, a mensagem de phishing instrui o destinatário a responder com um ‘Y’ ou ‘1’ e depois reabrir a mensagem para seguir o link. Este processo pode criar atritos que podem reduzir a eficácia do ataque de phishing.
Os usuários devem tratar com suspeita todas as mensagens recebidas que os incentivam a clicar em URLs, especialmente se o remetente não for reconhecido.