Darcula PhaaS
A Mnemonic.io jelentése a Darcula nevű globális Phishing-as-a-Service (PhaaS) platform működését ismerteti. A Darcula egy olyan, viszonylag új, de gyorsan terjedő adathalász szolgáltatás, amely lehetővé teszi a kiberbűnözők számára, hogy előre elkészített, márkázott, automatizált adathalász kampányokat indítsanak világszerte. A szolgáltatás működésének kulcsa a mobilfókusz: kifejezetten iOS és Android eszközökre célzott SMS- és iMessage-alapú kampányokkal operál, miközben weboldalai kizárólag mobilböngészőkből érhetők el, így próbálva megkerülni az asztali biztonsági kutatókat és automatizált szkennereket.
A Darcula működése során több mint 20 000 hamis weboldalt generált, amelyek hiteles arculatot tükröznek és olyan szervezetek nevében jelennek meg, mint például postai szolgáltatók, kormányzati szervek, közműszolgáltatók vagy bankok. A platform több mint 100 országban volt aktív, több száz márkát másolt le professzionálisan, több nyelven, és külön figyelmet fordít arra, hogy a lokalizáció és a felhasználói élmény a lehető legmeggyőzőbb legyen. A kampányokat úgy tervezték meg, hogy a felhasználók egy hamis weboldalon keresztül adják meg személyes adataikat, banki hitelesítőiket vagy egyéb érzékeny információikat.
A szolgáltatás nemcsak technikailag fejlett, hanem a használata is egyszerű. A támadók egy Telegram-csatornán keresztül érik el a platformot, ahol automatizált botok segítségével választhatnak célországot, márkát, nyelvet, majd azonnal megkapják a generált adathalász linkeket. A linkek automatikusan kezelik a látogatók forgalmát, például IP- és eszközalapú szűrést alkalmaznak, hogy kizárják a biztonsági kutatókat vagy olyan eszközöket, amelyekről az elemzői tevékenység gyanítható. Emellett a szolgáltatás frissíthető, tehát a bűnözők új funkciókat vagy csalási módszereket is bekapcsolhatnak anélkül, hogy új kampányt kellene indítaniuk.
A mnemonic szakértői az elemzés során hozzáfértek több tucat ilyen kampányhoz, amelyek mind hasonló sablonokra épültek. Kiderült, hogy a Darcula mögött álló infrastruktúra Docker konténereket, React-alapú frontendeket, valamint fejlett eszközazonosító és visszakövetési megoldásokat alkalmaz, hogy az áldozatok adatait gyorsan és hatékonyan gyűjtse be. A kampányok célja gyakran a kéttényezős hitelesítés megkerülése is, például SMS-ben küldött kódok ellopása révén.
A cikk kiemeli, hogy a Darcula egy új generációs fenyegetés, amely a szoftverszolgáltatás-modellt alkalmazza a kiberbűnözésben, és így kevés technikai tudással rendelkező szereplők számára is lehetővé teszi az összetett, célzott adathalász kampányok indítását. A szakértők szerint a védekezés egyik kulcsa a többfaktoros hitelesítés megerősítése, lehetőség szerint phishing-rezisztens MFA-megoldásokkal, illetve a mobilalapú adathalász kampányok detektálásának fejlesztése.
