Gelişmiş bir hizmet olarak kimlik avı (PhaaS) platformu Darcula Siber suçluların geniş ölçekte saldırılar başlatmasına yardımcı olmak için 20.000’den fazla sahte alan adından oluşan devasa bir ağdan yararlanarak gözünü 100’den fazla ülkedeki kuruluşlara dikti.
Netcraft, “Kısa mesaj göndermek için SMS yerine iMessage ve RCS kullanmak, USPS’in yanı sıra posta hizmetleri ve 100’den fazla ülkedeki diğer yerleşik kuruluşları hedeflemek için büyük bir etkiyle kullanılan SMS güvenlik duvarlarını atlamak gibi bir yan etkiye sahiptir.” söz konusu.
Darcula, geçtiğimiz yıl çok sayıda yüksek profilli kimlik avı saldırısında kullanıldı; burada smishing mesajları, USPS gibi meşru hizmetleri taklit ederek paket teslimatı cazibesinden yararlananlara ek olarak Birleşik Krallık’taki hem Android hem de iOS kullanıcılarına gönderiliyor.
Çince bir PhaaS olan Darcula, Telegram’da reklamı yapılıyor ve müşterilerin kimlik avı siteleri kurmak ve kötü amaçlı faaliyetlerini gerçekleştirmek için aylık bir ücret karşılığında yararlanabilecekleri meşru markaları taklit eden yaklaşık 200 şablon için destek sunuyor.
Şablonların çoğunluğu posta hizmetlerini taklit edecek şekilde tasarlanmıştır ancak bunlar aynı zamanda kamu ve özel kuruluşları, mali kurumları, devlet kurumlarını (örneğin vergi daireleri), havayollarını ve telekomünikasyon kuruluşlarını da içerir.
Kimlik avı siteleri, meşruiyet cilası eklemek için ilgili marka adlarını taklit eden, amaca yönelik kayıtlı alan adlarında barındırılır. Bu alanlar Cloudflare, Tencent, Quadranet ve Multacom tarafından desteklenmektedir.
Toplamda 11.000 IP adresinde 20.000’den fazla Darcula ile ilgili alan tespit edildi ve 2024’ün başından bu yana günde ortalama 120 yeni alan tanımlandı. PhaaS hizmetinin bazı yönleri şunlardı: açıklığa kavuşmuş Temmuz 2023’te İsrailli güvenlik araştırmacısı Oshri Kalfon tarafından.
Darcula’ya yapılan ilginç eklemelerden biri, kimlik avı kitini çıkarıp yeniden yüklemeye gerek kalmadan kimlik avı sitelerini yeni özelliklerle ve tespit edilmeyi önleyici önlemlerle güncelleme yeteneğidir.
İngiltere merkezli şirket, “Darcula sitelerinin ön sayfasında, muhtemelen yayından kaldırma çabalarını aksatmak için bir gizleme biçimi olarak sahte bir satış/bekleme sayfası görüntüleniyor” dedi. “Daha önceki sürümlerde, Darcula’nın izleme karşıtı mekanizması, bot olduğuna inanılan ziyaretçileri (potansiyel kurbanlar yerine) Google’da çeşitli kedi türlerine yönelik aramalara yönlendiriyordu.”
Darcula’nın vurma taktikleri ayrıca özel ilgiyi hak ediyor çünkü bu taktikler öncelikli olarak Apple iMessage’dan ve Google Mesajlar’da SMS yerine kullanılan RCS (Zengin İletişim Hizmetleri) protokolünden yararlanıyor ve böylece dolandırıcı mesajların olası kurbanlara iletilmesini önlemek için ağ operatörleri tarafından uygulanan bazı filtrelerden kaçıyor. .
“RCS ve iMessage’da uçtan uca şifreleme, son kullanıcılar için değerli gizlilik sağlarken, aynı zamanda mesajların içeriğini ağ operatörlerinin incelemesini imkansız hale getirerek Google ve Apple’ın cihazında kalmasını sağlayarak suçluların bu yasanın gerektirdiği filtrelemeden kaçmasına da olanak tanıyor.” Netcraft, spam tespitini ve üçüncü taraf spam filtre uygulamalarını, bu mesajların kurbanlara ulaşmasını engelleyen birincil savunma hattı olarak görüyor.” diye ekledi.
“Ayrıca, SMS için tipik olan herhangi bir mesaj başına ücret ödemezler, bu da teslimat maliyetini azaltır.”
Geleneksel SMS tabanlı kimlik avından farklılığı bir yana, Darcula’nın smishing mesajlarının bir diğer dikkate değer yönü, mesaj bilinen bir gönderenden gelmediği sürece bağlantıların tıklanabilir olmasını engelleyen iMessage’daki bir güvenlik önlemini aşmaya yönelik sinsi girişimleridir.
Bu, kurbana “Y” veya “1” mesajıyla yanıt vermesi ve ardından bağlantıyı takip etmek için konuşmayı yeniden açması talimatını gerektirir. Böyle bir mesaj r/phishing alt dizininde yayınlandı kullanıcıların, USPS paketi için eksik teslimat adresi sağladıklarını iddia ederek URL’yi tıklamaya ikna edildiklerini gösteriyor.
Bu iMesajlar [email protected] ve [email protected] gibi e-posta adreslerinden gönderiliyor ve bu da operasyonun arkasındaki tehdit aktörlerinin sahte e-posta hesapları oluşturduğunu ve mesajları göndermek için bunları Apple’a kaydettirdiğini gösteriyor.
Google, yakın zamanda şunu söyledi: engelleme Spam ve kötüye kullanımı azaltmak için root erişimli Android cihazlarda RCS kullanarak mesaj gönderme yeteneği.
Bu saldırıların nihai amacı, alıcıları sahte siteleri ziyaret etmeleri ve kişisel ve finansal bilgilerini dolandırıcılara teslim etmeleri için kandırmaktır. Darcula’nın Çince konuşan e-suç gruplarına yönelik olduğunu gösteren kanıtlar var.
Kimlik avı kitleri, daha az vasıflı suçluların bir saldırıyı gerçekleştirmek için gereken adımların çoğunu otomatikleştirmesine olanak tanıdığı ve böylece giriş engellerini azalttığı için ciddi sonuçlar doğurabilir.
Bu gelişme, Apple’ın parola sıfırlama özelliğinden yararlanan yeni bir kimlik avı saldırıları dalgasının ortasında gerçekleşti. kullanıcıları bombalamak hesaplarını ele geçirme umuduyla hızlı bir bombalama (diğer adıyla MFA yorgunluğu) saldırısıyla.
Bir kullanıcının tüm istekleri reddetmeyi başardığını varsayarsak, “dolandırıcılar daha sonra kurbanı arayacak ve arayan kimliğinde Apple desteğini taklit ederek kullanıcının hesabının saldırı altında olduğunu ve Apple desteğinin tek seferlik bir kodu ‘doğrulaması’ gerektiğini söyleyecektir.” güvenlik muhabiri Brian Krebs söz konusu.
Sesli kimlik avcılarının kurbanlar hakkında elde edilen bilgileri kullandığı tespit edildi. insanlar web sitelerinde arama yapıyor başarı olasılığını artırmak ve sonuçta “bir tetiklemeyi tetiklemek” Apple kimliği sıfırlama kodu Bu, sağlanırsa saldırganların hesaptaki şifreyi sıfırlamasına ve kullanıcıyı kilitlemesine olanak tanır.
Faillerin iforgot.apple adresindeki şifre sıfırlama sayfasındaki bir eksikliği kötüye kullandıklarından şüpheleniliyor.[.]com’u bypass edecek şekilde düzinelerce şifre değişikliği isteği göndermek hız sınırlayıcı korumalar.
Bulgular aynı zamanda FACCT’nin, SIM değiştiricilerin hedef kullanıcının telefon numarasını yerleşik bir SIM ile kendi cihazına aktardığına dair araştırmasını da takip ediyor (sSIM) mağdurun çevrimiçi hizmetlerine yetkisiz erişim sağlamak için. Uygulamanın vahşi doğada en az bir yıldır kullanıldığı söyleniyor.
Bu, operatörün web sitesinde veya uygulamasında, kurban kılığına girerek numarayı fiziksel bir SIM karttan bir eSIM’e aktarmak için bir uygulama başlatılarak gerçekleştirilir ve bu, eSIM QR Kodu oluşturulur oluşturulmaz meşru sahibinin numaraya erişimini kaybetmesine neden olur. ve etkinleştirildi.
Güvenlik araştırmacısı Dmitry Dudkov, “Kurbanın cep telefonu numarasına erişim elde eden siber suçlular, bankalar ve anlık mesajlaşma programları da dahil olmak üzere çeşitli hizmetlere erişim kodları ve iki faktörlü kimlik doğrulaması elde edebilir ve bu da suçluların dolandırıcılık planları uygulaması için birçok fırsatın önünü açabilir.” söz konusu.