🧛Darcula software de SMiShing chino

El phishing como servicio (PaaS) ha alcanzado la mayoría de edad con lo que se considera la operación de estafa de paquetes más generalizada a nivel mundial hasta la fecha.

La plataforma de phishing como servicio en idioma chino "Darcula" ha creado 19.000 dominios de phishing en ataques cibernéticos contra más de 100 países, dicen los investigadores. La plataforma ofrece a los ciberdelincuentes fácil acceso a campañas de phishing de marca por precios de suscripción de alrededor de 250 dólares al mes, según investigadores del proveedor de seguridad de infraestructura de Internet Netcraft.

Las plataformas de phishing como servicio no son nuevas, pero Darcula eleva el listón con mayor sofisticación técnica. Ejecuta muchas de las mismas herramientas empleadas por los desarrolladores de aplicaciones, incluidas JavaScript, React, Docker y Harbor.

Darcula utiliza iMessage y RCS (Rich Communication Services) en lugar de SMS para enviar mensajes de texto, una característica que permite que los mensajes fraudulentos enviados a través de la plataforma eviten los cortafuegos de SMS, que normalmente bloquean la entrega de mensajes sospechosos.

SMiShing de entrega de paquetes

Los ataques de phishing mediante mensajes de texto, también conocidos como SMiShing, han sido un peligro durante años. Los ciberdelincuentes intentan utilizar mensajes de "paquete perdido" o similares para engañar a posibles marcas para que visiten sitios falsos (disfrazados de empresas postales o bancos) y entreguen los detalles de sus tarjetas de pago o su información personal. Google ha tomado medidas para bloquear los mensajes RCS de los teléfonos rooteados, pero el esfuerzo sólo ha tenido un éxito parcial.

La plataforma Darcula ofrece una fácil implementación de sitios de phishing con cientos de plantillas dirigidas a marcas de todo el mundo, incluidas Kuwait Post, la empresa de telecomunicaciones Etisalat con sede en los Emiratos Árabes Unidos, Jordan Post, Saudi Post, Australia Post, Singapore Post y servicios postales en Sudáfrica, Nigeria, Marruecos. y más.

Este ataque presenta diferencias a otros servicios recientes como Fluffy Wolf o FakeSMS o Tycoon 2FA. Las estafas de Darcula generalmente se dirigen a consumidores y no a empresas.

Por ejemplo, para obtener acceso inicial a las infraestructuras objetivo, Fluffy Wolf, activo desde 2022, se hace pasar por una empresa de construcción para enviar correos electrónicos de phishing con archivos adjuntos disfrazados de informes de conciliación o informes destinados a garantizar que los diferentes conjuntos de cifras contables sean correctos. Los archivos protegidos con contraseña ocultan una variedad de cargas útiles maliciosas; el principal es Meta Stealer, clon del popular ladrón RedLine.

Tycoon, por su parte, es una una popular plataforma de phishing como servicio (PhaaS) responsable de miles de ataques a cuentas de Microsoft 365 y Gmail, se ha vuelto aún más difícil de detectar.

El investigador de seguridad israelí Oshri Kalfon comenzó a investigar a Darcula el año pasado (parte I y II) después de recibir un mensaje fraudulento en hebreo. Kalfron descubrió innumerables pistas sobre el funcionamiento de la plataforma después de rastrear las raíces de la estafa hasta un sitio de control cuyo panel de administración era fácil de hackear porque los estafadores habían olvidado cambiar las credenciales de inicio de sesión predeterminadas.

La plataforma Darcula cuenta con soporte para alrededor de 200 plantillas de phishing, que abarcan una variedad de marcas. Los servicios postales de todo el mundo son el objetivo principal, pero también se encuentran en la lista otras organizaciones orientadas al consumidor, incluidas empresas de servicios públicos, instituciones financieras, organismos gubernamentales (departamentos de impuestos, etc.), aerolíneas y proveedores de telecomunicaciones.

Una característica de las estafas basadas en Darcula son dominios creados expresamente, en lugar de dominios legítimos pirateados. Los dominios de nivel superior (TLD) más comunes utilizados para darcula son .top y .com, seguidos de numerosos TLD genéricos de bajo costo. Alrededor de un tercio (32%) de las páginas de Darcula abusan de Cloudflare, una opción preferida en la documentación de Darcula. También se abusa de Tencent, Quadranet y Multacom como anfitriones.

Redes de phishing

Desde principios de 2024, Netcraft ha detectado un promedio de 120 nuevos dominios que alojan páginas de phishing de Darcula por día. "Darcula es la operación de estafa de paquetes más generalizada a nivel mundial".

A diferencia de los kits de phishing típicos (de última generación), los sitios web de phishing generados con Darcula se pueden actualizar sobre la marcha para agregar nuevas funciones y funciones antidetección.

Por ejemplo, una actualización reciente de Darcula cambió el kit para que el contenido malicioso esté disponible a través de una ruta específica (es decir, ejemplo.com/track), en lugar de la página principal (ejemplo.com), dice Netcraft. La táctica disfraza la ubicación del atacante.

En la página principal, los sitios de Darcula suelen mostrar un dominio falso para una página de venta/reserva. Las versiones anteriores redirigían a los rastreadores y robots a búsquedas en Google de varias razas de gatos.

Debajo del capó, Darcula utiliza el registro de contenedores de código abierto Harbor para alojar imágenes Docker de sitios web de phishing escritos en React. Los ciberdelincuentes que alquilan la tecnología seleccionan una marca a la que apuntar antes de ejecutar un script de configuración que instala un sitio web de phishing específico de la marca y un panel de administración en Docker.

La evidencia sugiere que la operación está diseñada en gran medida para ciberdelincuentes que hablan chino. "Basándonos en lo que hemos observado, creemos que Darcula utiliza principal o exclusivamente el chino, y quienes utilizan la plataforma crean plantillas externas en otros idiomas", afirma Duncan.

Fuente: DarkReading

Suscríbete a nuestro Boletín