'Darcula' adlı yeni bir Hizmet Olarak Kimlik Avı (PHAA), 100'den fazla ülkede markaları taklit etmek ve Android ve iPhone kullanıcılarından kimlik bilgilerini çalmak için 20.000 alan kullanıyor.
Darcula, posta, finansal, hükümet, vergilendirme departmanlarından telkos, havayolu, hizmet, 200'den fazla şablon sunmak için dolandırıcılar sunan çeşitli hizmet ve kuruluşlara karşı kullanılmıştır.
Hizmeti öne çıkaran bir şey, kimlik avı mesajları göndermek için SMS yerine Google Mesajları için Zengin İletişim Hizmetleri (RCS) protokolünü (RCS) protokolünü kullanarak hedeflere yaklaşmasıdır.
Darcula ilk olarak geçen yaz güvenlik araştırmacısı Oshri Kalfon tarafından belgelendi, ancak Netcraft analistleri platformun siber suç alanında daha popüler hale geldiğini ve yakın zamanda çeşitli yüksek profilli vakalarda kullanıldığını bildirdi.
Geleneksel kimlik avı yöntemlerinden farklı olarak, Darcula, JavaScript, React, Docker ve Liman gibi modern teknolojileri kullanır ve müşteriler kimlik avı kitlerini yeniden yüklemesi gerekmeden sürekli güncellemeler ve yeni özellik eklemeleri sağlar.
Kimlik avı kiti, 100'den fazla ülkede marka ve kuruluşları taklit eden 200 kimlik avı şablonu sunmaktadır. Açılış sayfaları yüksek kalitelidir ve doğru yerel dil, logolar ve içeriği kullanır.
Dolandırıcılar, ilgili kimlik avı sitesini ve yönetim kontrol panelini doğrudan bir Docker ortamına yükleyen bir kurulum komut dosyasını taklit etmek ve çalıştırmak için bir marka seçer.
Sistem, Docker görüntüsünü barındırmak için açık kaynaklı konteyner kayıt defteri limanını kullanırken, kimlik avı siteleri React kullanılarak geliştirilir.
Araştırmacılar, Darcula hizmetinin, kimlik avı saldırıları için amaca yönelik alan adlarını barındırmak için tipik olarak “.top” ve “.com” üst düzey alan adlarını kullandığını, bunların kabaca üçte biri Cloudflare tarafından desteklendiğini söylüyor.
Netcraft, 11.000 IP adresinde 20.000 Darcula alanı eşleştirdi ve günlük 120 yeni alan eklendi.
Darcula, geleneksel SMS tabanlı taktiklerden ayrılır ve bunun yerine kurbanlara kimlik avı URL'sine bağlantıları olan mesajlar göndermek için RCS (Android) ve iMessage (iOS) kullanır.
Bunun avantajı, alıcıların iletişimi meşru olarak algılama olasılığı daha yüksektir ve SMS'de bulunmayan ek korumalara güvenmektir.
Ayrıca, RCS ve IMESSAGE uçtan uca şifrelemeyi desteklediğinden, kimlik avı mesajlarını içeriklerine göre kesmek ve engellemek imkansızdır.
Netcraft, şüpheli mesajları engelleyerek SMS tabanlı siber suçları engellemeyi amaçlayan son küresel mevzuat çabalarının muhtemelen PHAAS platformlarını RC'ler ve iMessage gibi alternatif protokollere doğru ittiğini söylüyor.
Bununla birlikte, bu protokoller siber suçluların üstesinden gelmesi gereken kendi kısıtlamalarıyla birlikte gelir.
Örneğin, Apple’ın birden fazla alıcıya yüksek miktarda mesaj gönderen hesaplarını yasakladı ve Google yakın zamanda köklü Android cihazlarının RCS mesajı göndermesini veya almasını önleyen bir kısıtlama uyguladı.
Siber suçlular, birden fazla Apple kimliği oluşturarak ve her cihazdan az sayıda mesaj göndermek için cihaz çiftliklerini kullanarak bu sınırlamaları geçersiz kılmaya çalışır.
Daha zorlu bir engel, iMessage'da yalnızca alıcıların mesaja cevap vermişlerse bir URL bağlantısını tıklamasına izin veren bir korumadır.
Bu önlemin etrafından geçmek için, kimlik avı mesajı alıcıya bir ‘y’ veya ‘1’ ile cevap vermesini ve ardından bağlantıyı takip etmek için mesajı yeniden açmasını söyler. Bu süreç, kimlik avı saldırısının etkinliğini azaltabilecek sürtünme yaratabilir.
Kullanıcılar, özellikle gönderen tanınmıyorsa, URL'lere şüphe ile tıklamaya çağıran tüm gelen mesajları ele almalıdır. Platform veya uygulamadan bağımsız olarak, kimlik avı tehdidi aktörleri yeni teslimat yöntemlerini denemeye devam edecek.
Netcraft araştırmacıları ayrıca yanlış dilbilgisi, heceleme hataları, aşırı çekici teklifler veya acil eylemlere çağrılara dikkat etmenizi önerir.
Labhost siber suç hizmeti, Phish Kanadalı banka kullanıcılarının kimsesine izin verir
Yeni MFA-Bypassing Kimlik Yardım Kiti Microsoft 365, Gmail Hesapları Hedefleri
Rus hackerlar Wineloader kötü amaçlı yazılımla Alman siyasi partilerini hedefleyin
Spa Grand Prix E -posta Hesabı Hayranlardan Phish Bankacılık Bilgilerine Hacklendi
Kimlik avı, kötü amaçlı yazılım ve fidye yazılımlarına karşı AI tabanlı bir krom uzantısı
Kaynak: Bleeping Computer