Вышли из тени: атаки на iMessage и RCS «darcula» нацелены на USPS и глобальные почтовые службы

Китайскоязычная платформа «Фишинг как услуга» «darcula» нацелена на организации в более чем 100 странах с использованием сложных методов и более 20 000 фишинговых доменов.

‘даркула’ [sic] — это новая, сложная платформа «Фишинг как услуга» (PhaaS), используемая на более чем 20 000 фишинговых доменах и предоставляющая киберпреступникам легкий доступ к фирменным фишинговым кампаниям. Вместо того, чтобы более типичный PHPПлатформа использует многие из тех же инструментов, которые используются высокотехнологичными стартапами, включая JavaScript, React, Docker и Harbour.

Использование iMessage и RCS вместо SMS для отправки текстовых сообщений имеет побочный эффект, заключающийся в обходе межсетевых экранов SMS, которые с большой эффективностью используются для нападения на USPS, а также почтовые службы и другие существующие организации в более чем 100 странах.

Фишинговые атаки, проводимые с использованием текстовых сообщений, известные как атаки «смишинг», не являются чем-то новым. В кампаниях также нетсообщения о пропущенной посылке, отправленные через SMS. Эти атаки обманом заставляют пользователей вводить учетные данные и другую конфиденциальную информацию, полагая, что они взаимодействуют с законными почтовыми организациями.

Платформа darcula использовалась для многочисленных громких фишинговых атак за последний год, включая сообщения, полученные на устройства Apple и Android в Великобритании, а также мошенничество с пакетами, выдававшими себя за Почтовую службу США (USPS), о чем говорится в многочисленных сообщениях на /r/фишинг Reddit.

Сайты, использующие darcula, часто распространяют свои URL-адреса через RCS и iMessage. Эти сообщения можно отправлять бесплатно, они повышают доверие потребителей (многие пользователи iPhone привыкли видеть сообщения только от известных контактов) и обходят некоторые фильтры, установленные операторами сети, которые часто предотвращают доставку мошеннических SMS-сообщений потенциальным жертвам.

В этом сообщении блога подробно рассматривается, как Даркула работает, чем его кампании отличаются от обычного смишинга и почему эти кампании предлагают уникальный эффективный подход к извлечению критически важных данных от жертв.

Что такое даркула? Киберпреступность как услуга — это серьезный бизнес

darcula — это китайскоязычная платформа PhaaS, разработанная одноименным пользователем Telegram и предлагающая легкое развертывание фишинговых сайтов с сотнями шаблонов, ориентированных на мировые бренды. Как и другие участники PhaaS, группа Даркула предлагает другим преступникам платную ежемесячную подписку.

В отличие от более типичные фишинговые наборы, Фишинговые веб-сайты darcula могут обновляться на месте, добавляя новые функции и меры защиты от обнаружения (то есть комплект не нужно удалять, а затем переустанавливать, чтобы воспользоваться новыми обновлениями). Функциональность, которую Netcraft наблюдала напрямую. Например, недавнее обновление darcula изменило комплект, чтобы вредоносный контент был доступен по определенному пути (например, example.com/track), а не по главной странице (example.com), чтобы скрыть место атаки.

Фигура 1 Фишинговые целевые страницы, нацеленные на почтовые службы (слева направо: DHL, Evri, Почтовая служба США)

Платформа Darcula утверждает, что поддерживает около 200 фишинговых шаблонов, охватывающих широкий спектр брендов из более чем 100 разных стран. Шаблоны в первую очередь предназначены для почтовых служб, а также для других учреждений, пользующихся большим доверием потребителей, таких как государственные и частные коммунальные предприятия, финансовые учреждения, государственные органы (налоговые департаменты и т. д.), авиакомпании и телекоммуникационные организации.

Рисунок 2. Фишинговые целевые страницы, нацеленные на почтовые службы (слева направо: Почта Болгарии, Почта Австралии, Почта Сингапура).

Фишинговые атаки darcula обычно используют специально зарегистрированные домены, а не те, которые были скомпрометированы, обычно подделывая соответствующее название бренда. Наиболее распространенными доменами верхнего уровня (TLD), используемыми для даркулы, являются .top и .com, за которыми следуют многочисленные недорогие общие TLD. Платформа Cloudflare используется 32% страниц darcula, при этом услуги Cloudflare рекомендуются в собственной документации darcula, чтобы избежать раскрытия IP-адреса базового сервера. Tencent, Quadranet и Multacom также являются распространенным выбором.

В общей сложности Netcraft обнаружила более 20 000 доменов, связанных с даркулой, на 11 000 IP-адресах, которые ориентированы на более чем 100 брендов. С начала 2024 года Netcraft ежедневно обнаруживает в среднем 120 новых доменов, на которых размещаются фишинговые страницы darcula.

На первой странице сайтов darcula отображается поддельный домен, выставленный на продажу/удержание, вероятно, в качестве маскировки, чтобы сорвать усилия по удалению домена. В предыдущих версиях механизм антимониторинга Darcula перенаправлял посетителей, которые считались ботами (а не потенциальными жертвами), на поисковые запросы Google по различным породам кошек. darcula оформлена в кошачьей тематике: в качестве изображения канала Telegram используется кошка, панель администрирования ранее была помечена изображением кошки, а также инфраструктурные домены, такие как Magic-cat.[.]сеть.

Фигура 3 Антимониторинг Darcula перенаправляет сканеров сайта на породу кошек

На техническом уровне установка устроена так, чтобы мошеннику было легко: darcula использует реестр контейнеров с открытым исходным кодом. Гавань для размещения Docker-образов фишинговых веб-сайтов, написанных на React. Мошенники выбирают целевой бренд, а затем запускают сценарий установки, который устанавливает фишинговый веб-сайт, специфичный для этого бренда, и связанную с ним панель администратора в Docker. Дополнительную информацию о платформе darcula и сообществе Telegram можно найти на сайте darcula. Страницы Ошри Калфона в LinkedInкоторые исследовали их платформу после получения сообщения Даркула на иврите.

RCS и iMessage используются для фишинговых приманок darcula

В отличие от стандартных фишинговых атак на основе SMS, сообщения darcula lure обычно используют альтернативные протоколы связи RCS и iMessage:

• RCS (Rich Communication Services) — это стандартный протокол обмена сообщениями, который Google внедрил в Google Messages, которое является приложением для отправки SMS по умолчанию, предоставляемым на многих устройствах Android. Он также добавляет уровень сквозного шифрования, если оба клиента используют приложение. В 2023 году Google сделал RCS опцией по умолчанию, предпочтительнее SMS при отправке текстовых сообщений в сообщениях Google.
• iMessage — это служба сообщений Apple со сквозным шифрованием, которая работает исключительно на их платформах, включая macOS, iOS, iPadOS и watchOS. До недавнего времени Apple предпочитала не поддерживать протокол RCS, но добавит RCS в iOS в 2024 году.

Создание RCS и iMessage было частично разработано для обеспечения более безопасных протоколов обмена сообщениями, чем SMS и MMS, которым сейчас более 30 лет. Эти зашифрованные услуги предлагаются конечным пользователям как самый безопасный способ отправки сообщений в вашу сеть. Впоследствии потребители часто доверяют этим сообщениям больше, и они устраняют определенный уровень скептицизма, когда пользователи видят, например, iMessage вместо SMS. Кроме того, в США Федеральная комиссия по связи недавно представила законы которые «требуют от провайдеров мобильной беспроводной связи блокировать определенные роботизированные сообщения, которые с большой вероятностью могут быть незаконными», в то время как в Сингапуре инициатива реестра идентификаторов отправителей SMS (SSIR) (который был запущен в январе этого года) был введен для борьбы с «нежелательными и мошенническими SMS-сообщениями».

Этот закон, призванный усложнить киберпреступления с помощью SMS для преступников, влияет на то, как распространяются эти URL-адреса. Несмотря на то, что сквозное шифрование в RCS и iMessage обеспечивает ценную конфиденциальность для конечных пользователей, оно также позволяет преступникам обходить фильтрацию, требуемую этим законодательством, делая содержание сообщений невозможным для проверки операторами сетей, оставляя Google и Apple спам на устройствах. приложения для обнаружения и фильтрации спама сторонних производителей в качестве основной линии защиты, предотвращающей попадание этих сообщений к жертвам. Кроме того, они не взимают никакой платы за каждое сообщение, типичной для SMS, что снижает стоимость доставки.

Преступники также прилагают усилия для обхода мер безопасности, встроенных в эти платформы. Например, Apple ввела меру безопасности, согласно которой ссылки в iMessage нельзя щелкнуть, если сообщение не исходит от учетной записи, на которую вы отправили ответ. Чтобы обойти это, один из шаблонов, созданных преступниками с помощью darcula, рассылается пользователям Apple с пометкой «Пожалуйста, ответьте на Y‘ или «Пожалуйста, ответьте на 1» сообщение. Если пользователи ответят, можно будет щелкнуть ссылку в сообщении, и они перенаправятся на фишинговый веб-сайт darcula, где обман может продолжиться.

Фигура 4 Фишинговые сообщения darcula, нацеленные на пользователей iMessage, созданные для того, чтобы жертвы отвечали, чтобы URL-адреса в сообщениях становились «кликабельными», изображение из Reddit /r/фишинг

Кроме того, злоумышленники могут создавать сценарии «массовой рассылки» iMessage, которые запускаются на macOS и автоматически взаимодействуют с приложением «Сообщения». Apple блокирует идентификаторы и устройства за отправку слишком большого количества сообщений, поэтому преступники могут часто менять свой Apple ID или использовать другие методы, чтобы избежать обнаружения.

Рис. 5. Сообщение RCS, направляющее жертв на фишинговый веб-сайт darcula.

Спам с использованием RCS может распространяться с помощью ферм устройств, которые используют автоматизацию, и многих устройств Android для массовой отправки сообщений. Недавно, Google решил заблокировать обмен сообщениями RCS на рутованных телефонах, пытаясь уменьшить спам..

Защитите себя и свою организацию от даркулы

Будьте крайне скептически относитесь к любым ссылкам, отправленным вам от неизвестных отправителей. Ищите неточности в грамматике, орфографические ошибки, предложения, которые «слишком хороши, чтобы быть правдой» или требуют срочных действий. Если вы ожидаете сообщение от организации, перейдите на ее официальный сайт и избегайте перехода по ссылкам. Пользователи Android и iOS могут дополнительно защитить себя, используяПриложения Netcraftкоторые блокируют фишинговые страницы и другие вредоносные сайты.

Netcraft защищает бренды в более чем 100 странах и удаляет данные четырех из десяти наиболее фишинговых компаний в Интернете. Чтобы узнать, как мы можем защитить вашу организацию от угрозы Даркулы и других фишинговых кибератак, вы можете запросить демо-версию, посетив https://www.netcraft.com/book-a-demo/или узнайте больше, посетив https://www.netcraft.com/platform/.