Gelişmiş bir hizmet olarak kimlik avı (PhaaS) platformu Darcula Siber suçluların geniş ölçekte saldırılar başlatmasına yardımcı olmak için 20.000'den fazla sahte alan adından oluşan devasa bir ağdan yararlanarak gözünü 100'den fazla ülkedeki kuruluşlara dikti.
Netcraft, “Metin mesajı göndermek için SMS yerine iMessage ve RCS kullanmanın, 100'den fazla ülkedeki posta hizmetleri ve diğer yerleşik kuruluşların yanı sıra USPS'yi hedeflemek için büyük bir etkiyle kullanılan SMS güvenlik duvarlarını atlama gibi bir yan etkisi var” dedi.
Darcula, geçtiğimiz yıl çok sayıda yüksek profilli kimlik avı saldırısında kullanıldı; burada smishing mesajları, USPS gibi meşru hizmetleri taklit ederek paket teslimatı cazibesinden yararlananlara ek olarak Birleşik Krallık'taki hem Android hem de iOS kullanıcılarına gönderiliyor.
Çince bir PhaaS olan Darcula, Telegram'da reklamı yapılıyor ve müşterilerin kimlik avı siteleri kurmak ve kötü amaçlı faaliyetlerini gerçekleştirmek için aylık bir ücret karşılığında yararlanabilecekleri meşru markaları taklit eden yaklaşık 200 şablon için destek sunuyor.
Şablonların çoğunluğu posta hizmetlerini taklit edecek şekilde tasarlanmıştır ancak bunlar aynı zamanda kamu ve özel kuruluşları, mali kurumları, devlet kurumlarını (örneğin vergi daireleri), havayollarını ve telekomünikasyon kuruluşlarını da içerir.
Kimlik avı siteleri, meşruiyet cilası eklemek için ilgili marka adlarını taklit eden, amaca yönelik kayıtlı alan adlarında barındırılır. Bu alanlar Cloudflare, Tencent, Quadranet ve Multacom tarafından desteklenmektedir.
Toplamda, 11.000 IP adresinde 20.000'den fazla Darcula ile ilgili alan tespit edildi ve 2024'ün başından bu yana günde ortalama 120 yeni alan tanımlandı. PhaaS hizmetinin bazı yönleri Temmuz 2023'te İsrailli güvenlik araştırmacısı Oshri tarafından ortaya çıkarıldı. Kalfon.
Darcula'ya yapılan ilginç eklemelerden biri, kimlik avı kitini çıkarıp yeniden yüklemeye gerek kalmadan kimlik avı sitelerini yeni özelliklerle ve tespit edilmeyi önleyici önlemlerle güncelleme yeteneğidir.
İngiltere merkezli şirket, “Darcula sitelerinin ön sayfasında, muhtemelen yayından kaldırma çabalarını aksatmak için bir gizleme biçimi olarak sahte bir satış/bekleme sayfası görüntüleniyor” dedi. “Daha önceki sürümlerde, Darcula'nın izleme karşıtı mekanizması, bot olduğuna inanılan ziyaretçileri (potansiyel kurbanlar yerine) Google'da çeşitli kedi türlerine yönelik aramalara yönlendiriyordu.”
Darcula'nın vurma taktikleri ayrıca özel ilgiyi hak ediyor çünkü bu taktikler öncelikli olarak Apple iMessage'dan ve Google Mesajlar'da SMS yerine kullanılan RCS (Zengin İletişim Hizmetleri) protokolünden yararlanıyor ve böylece dolandırıcı mesajların olası kurbanlara iletilmesini önlemek için ağ operatörleri tarafından uygulanan bazı filtrelerden kaçıyor. .
“RCS ve iMessage'da uçtan uca şifreleme, son kullanıcılar için değerli gizlilik sağlarken, aynı zamanda mesajların içeriğini ağ operatörlerinin incelemesini imkansız hale getirerek Google ve Apple'ın cihazında kalmasını sağlayarak suçluların bu yasanın gerektirdiği filtrelemeden kaçmasına da olanak tanıyor.” Netcraft, spam tespitini ve üçüncü taraf spam filtre uygulamalarını, bu mesajların kurbanlara ulaşmasını engelleyen birincil savunma hattı olarak görüyor.” diye ekledi.
“Ayrıca, SMS için tipik olan herhangi bir mesaj başına ücret ödemezler, bu da teslimat maliyetini azaltır.”
Geleneksel SMS tabanlı kimlik avından farklılığı bir yana, Darcula'nın smishing mesajlarının bir diğer dikkate değer yönü, mesaj bilinen bir gönderenden gelmediği sürece bağlantıların tıklanabilir olmasını engelleyen iMessage'daki bir güvenlik önlemini aşmaya yönelik sinsi girişimleridir.
Bu, kurbana “Y” veya “1” mesajıyla yanıt vermesi ve ardından bağlantıyı takip etmek için konuşmayı yeniden açması talimatını gerektirir. R/phishing alt dizininde yayınlanan böyle bir mesaj, kullanıcıların USPS paketi için eksik bir teslimat adresi sağladıklarını iddia ederek URL'yi tıklamaya ikna edildiğini gösteriyor.
Bu iMesajlar [email protected] ve [email protected] gibi e-posta adreslerinden gönderiliyor ve bu da operasyonun arkasındaki tehdit aktörlerinin sahte e-posta hesapları oluşturduğunu ve mesajları göndermek için bunları Apple'a kaydettirdiğini gösteriyor.
Google, yakın zamanda spam ve kötüye kullanımı azaltmak için root erişimli Android cihazlarda RCS kullanarak mesaj gönderme olanağını engellediğini söyledi.
Bu saldırıların nihai amacı, alıcıları sahte siteleri ziyaret etmeleri ve kişisel ve finansal bilgilerini dolandırıcılara teslim etmeleri için kandırmaktır. Darcula'nın Çince konuşan e-suç gruplarına yönelik olduğunu gösteren kanıtlar var.
Kimlik avı kitleri, daha az vasıflı suçluların bir saldırıyı gerçekleştirmek için gereken adımların çoğunu otomatikleştirmesine olanak tanıdığı ve böylece giriş engellerini azalttığı için ciddi sonuçlar doğurabilir.
Bu gelişme, Apple'ın parola sıfırlama özelliğinden yararlanan yeni bir kimlik avı saldırıları dalgasının ortasında gerçekleşti. kullanıcıları bombalamak hesaplarını ele geçirme umuduyla hızlı bir bombalama (diğer adıyla MFA yorgunluğu) saldırısıyla.
Bir kullanıcının tüm istekleri reddetmeyi başardığını varsayarsak, “dolandırıcılar, arayan kimliğinde Apple desteğini taklit ederek kurbanı arayacak ve kullanıcının hesabının saldırı altında olduğunu ve Apple desteğinin tek seferlik bir kodu 'doğrulaması' gerektiğini söyleyecektir.” güvenlik gazetecisi Brian Krebs şunları söyledi.
Sesli kimlik avcılarının, başarı olasılığını artırmak için kişi arama web sitelerinden kurbanlar hakkında elde edilen bilgileri kullandıkları ve sonuçta “kullanıcının cihazına gönderilecek bir Apple Kimliği sıfırlama kodunu tetikledikleri” ve bu kodun sağlanması durumunda saldırganların hesabın şifresini sıfırlayın ve kullanıcıyı kilitleyin.
Faillerin iforgot.apple adresindeki şifre sıfırlama sayfasındaki bir eksikliği kötüye kullandıklarından şüpheleniliyor.[.]com'un hız sınırlayıcı korumaları aşacak şekilde düzinelerce şifre değişikliği isteği göndermesine neden oldu.
Bulgular aynı zamanda FACCT'nin, SIM değiştiricilerin kurbanın çevrimiçi hizmetlerine yetkisiz erişim sağlamak amacıyla hedef kullanıcının telefon numarasını yerleşik bir SIM (sSIM) ile kendi cihazına aktardığına ilişkin araştırmasını da takip ediyor. Uygulamanın vahşi doğada en az bir yıldır kullanıldığı söyleniyor.
Bu, operatörün web sitesinde veya uygulamasında, numarayı mağdur gibi davranarak fiziksel bir SIM karttan bir eSIM'e aktarmak için bir uygulama başlatılarak gerçekleştirilir ve bu, eSIM QR Kodu oluşturulur oluşturulmaz meşru sahibinin numaraya erişimini kaybetmesine neden olur. ve etkinleştirildi.
Güvenlik araştırmacısı Dmitry Dudkov, “Kurbanın cep telefonu numarasına erişim elde eden siber suçlular, bankalar ve anlık mesajlaşma programları da dahil olmak üzere çeşitli hizmetlere erişim kodları ve iki faktörlü kimlik doğrulaması elde edebilir ve bu da suçlulara dolandırıcılık planları uygulamak için birçok fırsat açabilir.” dedi.