La plataforma de phishing como servicio (PhaaS), Darcula, ha dirigido sus ataques a organizaciones en más de 100 países, utilizando una extensa red de más de 20,000 dominios falsos para ayudar a los ciberdelincuentes a llevar a cabo ataques a gran escala. Según Netcraft, los ciberdelincuentes están utilizando iMessage y RCS en lugar de SMS para enviar mensajes de texto, ya que esto evita los cortafuegos de SMS de los servicios postales y otras organizaciones establecidas.
En el último año, los ataques de phishing de alto perfil utilizan Darcula para enviar mensajes de smishing a usuarios de Android e iOS en el Reino Unido, utilizando señuelos de paquetes de entrega para hacer pasar los servicios fraudulentos como el USPS.
Como plataforma de origen chino, Darcula se comercializa en Telegram y ofrece a sus clientes alrededor de 200 plantillas que imitan marcas legítimas por una tarifa mensual, permitiéndoles configurar sitios de phishing y llevar a cabo sus actividades maliciosas. La mayoría de estas plantillas se diseñan para imitar servicios postales, servicios públicos y privados, instituciones financieras, organismos gubernamentales, aerolíneas y organizaciones de telecomunicaciones.
Los sitios de phishing se hospedan en dominios registrados con fines específicos que imitan las marcas respectivas para añadir una apariencia de legitimidad. Estos dominios están respaldados por Cloudflare, Tencent, Quadranet y Multacom. En total, se han identificado más de 20,000 dominios relacionados con Darcula en 11,000 direcciones IP desde el inicio de 2024.
Darcula es capaz de actualizar sites de phishing con nuevas características y medidas anti-detección sin tener que quitar y reinstalar el kit de phishing, lo que lo hace difícil de detectar. Los mensajes de smishing de Darcula utilizan principalmente Apple iMessage y el protocolo RCS, lo que les permite evitar algunos filtros establecidos por los operadores de redes para evitar que los mensajes fraudulentos lleguen a las víctimas potenciales.
El objetivo final de estos ataques es engañar a los destinatarios para que visiten sitios falsos y entreguen su información personal y financiera a los estafadores. Existe evidencia que sugiere que Darcula está orientada a grupos de e-crimen de habla china. Los kits de phishing pueden automatizar muchas de las etapas necesarias para llevar a cabo un ataque, lo que reduce las barreras de entrada.
Recientemente, se descubrió que los estafadores telefónicos están utilizando información obtenida de sitios web de búsqueda de personas para aumentar la probabilidad de éxito en los ataques de sobrecarga de información y están activando el envío de un código de restablecimiento de la ID de Apple para secuestrar la cuenta de un usuario.
El investigador de seguridad Dmitry Dudkov advirtió que el acceso al número de teléfono móvil de la víctima permite a los ciberdelincuentes obtener códigos de acceso y autenticación de dos factores para varios servicios, incluyendo bancos y mensajeros, lo que abre una serie de oportunidades para que los delincuentes implementen esquemas fraudulentos.
Vía The Hacker News
La entrada Red de Phishing Darcula aprovecha RCS y iMessage para evadir detección se publicó primero en News Bender Daily.