Una sofisticada plataforma de phishing como servicio (PhaaS) llamada Dárcula ha puesto su mirada en organizaciones en más de 100 países aprovechando una red masiva de más de 20.000 dominios falsificados para ayudar a los ciberdelincuentes a lanzar ataques a escala.
«Usar iMessage y RCS en lugar de SMS para enviar mensajes de texto tiene el efecto secundario de eludir los cortafuegos de SMS, que se están utilizando con gran efecto para atacar a USPS junto con los servicios postales y otras organizaciones establecidas en más de 100 países», Netcraft dicho.
Darcula ha sido empleado en varios ataques de phishing de alto perfil durante el último año, en los que los mensajes de smishing se envían a usuarios de Android e iOS en el Reino Unido, además de aquellos que aprovechan los señuelos de entrega de paquetes haciéndose pasar por servicios legítimos como USPS.
Darcula, un PhaaS en idioma chino, es anunciado en Telegram y ofrece soporte para alrededor de 200 plantillas hacerse pasar por marcas legítimas que los clientes pueden aprovechar por una tarifa mensual para configurar sitios de phishing y llevar a cabo sus actividades maliciosas.
La mayoría de las plantillas están diseñadas para imitar los servicios postales, pero también incluyen servicios públicos y privados, instituciones financieras, organismos gubernamentales (por ejemplo, departamentos de impuestos), aerolíneas y organizaciones de telecomunicaciones.
Los sitios de phishing están alojados en dominios registrados expresamente que falsifican las respectivas marcas para agregar una apariencia de legitimidad. Estos dominios están respaldados por Cloudflare, Tencent, Quadranet y Multacom.
En total, se han detectado más de 20.000 dominios relacionados con Darcula en 11.000 direcciones IP, con un promedio de 120 nuevos dominios identificados por día desde principios de 2024. Algunos aspectos del servicio PhaaS fueron reveló en julio de 2023 por el investigador de seguridad israelí Oshri Kalfon.
Una de las adiciones interesantes a Darcula es su capacidad para actualizar sitios de phishing con nuevas funciones y medidas antidetección sin tener que quitar y reinstalar el kit de phishing.
«En la página principal, los sitios de Darcula muestran una página falsa de venta/mantenimiento de dominio, probablemente como una forma de encubrimiento para interrumpir los esfuerzos de eliminación», dijo la compañía con sede en el Reino Unido. «En iteraciones anteriores, el mecanismo anti-monitoreo de darcula redirigiría a los visitantes que se cree que son robots (en lugar de víctimas potenciales) a búsquedas en Google de varias razas de gatos».
Las tácticas de smishing de Darcula también merecen especial atención, ya que aprovechan principalmente Apple iMessage y el protocolo RCS (Rich Communication Services) utilizado en Google Messages en lugar de SMS, evadiendo así algunos filtros establecidos por los operadores de red para evitar que se entreguen mensajes fraudulentos a posibles víctimas. .
«Si bien el cifrado de extremo a extremo en RCS e iMessage ofrece una privacidad valiosa para los usuarios finales, también permite a los delincuentes evadir el filtrado requerido por esta legislación al hacer que el contenido de los mensajes sea imposible de examinar para los operadores de red, dejando a Google y Apple en el dispositivo La detección de spam y las aplicaciones de filtrado de spam de terceros son la principal línea de defensa para evitar que estos mensajes lleguen a las víctimas», añadió Netcraft.
«Además, no incurren en ningún cargo por mensaje, que es típico de los SMS, lo que reduce el costo de entrega».
Dejando a un lado la desviación del phishing tradicional basado en SMS, otro aspecto digno de mención de los mensajes smishing de Darcula es su astuto intento de eludir una medida de seguridad en iMessage que impide que se pueda hacer clic en los enlaces a menos que el mensaje sea de un remitente conocido.
Esto implica indicarle a la víctima que responda con un mensaje «Y» o «1» y luego vuelva a abrir la conversación para seguir el enlace. Uno de esos mensajes publicado en el subreddit r/phishing muestra que se persuade a los usuarios para que hagan clic en la URL afirmando que han proporcionado una dirección de entrega incompleta para el paquete de USPS.
Estos iMessages se envían desde direcciones de correo electrónico como pl4396@gongmiaq.com y mb6367587@gmail.com, lo que indica que los actores de amenazas detrás de la operación están creando cuentas de correo electrónico falsas y registrándolas en Apple para enviar los mensajes.
Google, por su parte, dijo recientemente que es bloqueando la capacidad de enviar mensajes usando RCS en dispositivos Android rooteados para reducir el spam y el abuso.
El objetivo final de estos ataques es engañar a los destinatarios para que visiten sitios falsos y entreguen su información personal y financiera a los estafadores. Hay pruebas que sugieren que Darcula está dirigido a grupos de delincuencia electrónica de habla china.
Los kits de phishing pueden tener graves consecuencias, ya que permiten a delincuentes menos capacitados automatizar muchos de los pasos necesarios para llevar a cabo un ataque, reduciendo así las barreras de entrada.
El desarrollo se produce en medio de una nueva ola de ataques de phishing que aprovechan la función de restablecimiento de contraseña de Apple. bombardear a los usuarios con lo que se llama un ataque con bombardeo rápido (también conocido como fatiga MFA) con la esperanza de secuestrar sus cuentas.
Suponiendo que un usuario logra rechazar todas las solicitudes, «los estafadores llamarán a la víctima mientras falsifican el soporte de Apple en el identificador de llamadas, diciendo que la cuenta del usuario está bajo ataque y que el soporte de Apple necesita ‘verificar’ un código de un solo uso». El periodista de seguridad Brian Krebs dicho.
Se ha descubierto que los phishers de voz utilizan información sobre las víctimas obtenida de la gente busca sitios web para aumentar la probabilidad de éxito y, en última instancia, «desencadenar una Código de restablecimiento de ID de Apple para ser enviado al dispositivo del usuario», que, si se proporciona, permite a los atacantes restablecer la contraseña de la cuenta y bloquear al usuario.
Se sospecha que los perpetradores están abusando de una deficiencia en la página de restablecimiento de contraseña en iforgot.apple[.]com para enviar docenas de solicitudes de cambio de contraseña de una manera que evita protecciones limitantes de velocidad.
Los hallazgos también surgen de una investigación de FACCT que intercambiadores de SIM están transfiriendo el número de teléfono de un usuario objetivo a su propio dispositivo con una SIM integrada (si) para obtener acceso no autorizado a los servicios en línea de la víctima. Se dice que esta práctica se ha utilizado en la naturaleza durante al menos un año.
Esto se logra iniciando una aplicación en el sitio web del operador o una aplicación para transferir el número de una tarjeta SIM física a una eSIM haciéndose pasar por la víctima, lo que hace que el propietario legítimo pierda el acceso al número tan pronto como se genera el código QR eSIM. y activado.
«Al obtener acceso al número de teléfono móvil de la víctima, los ciberdelincuentes pueden obtener códigos de acceso y autenticación de dos factores a diversos servicios, incluidos bancos y mensajería, lo que abre una gran cantidad de oportunidades para que los delincuentes implementen esquemas fraudulentos», dijo el investigador de seguridad Dmitry Dudkov. dicho.