iPhone 用戶注意了,新型 Darcula 網(wǎng)絡(luò)釣魚(yú)“盯上”你們了
近日,研究人員發(fā)現(xiàn)一種名為 "Darcula "的新型網(wǎng)絡(luò)釣魚(yú)即服務(wù)(PhaaS)使用 20000 個(gè)虛假域名,盜取了大量 Android 和 iPhone 用戶的憑證。
Darcula 目前已被用于針對(duì)全球 100 多個(gè)國(guó)家的各種服務(wù)和組織,涵蓋了郵政、金融、政府、稅務(wù)部門、電信公司、航空公司公用事業(yè)公司,為威脅攻擊者提供了 200 多個(gè)“模板”供其選擇。
值得一提的是,Darcula 服務(wù)與其它類型的釣魚(yú)服務(wù)有一些差別,它主要使用谷歌信息和 iMessage 的富通信服務(wù)(RCS)協(xié)議發(fā)送釣魚(yú)信息(其它類型的釣魚(yú)服務(wù)大都使用短信)。
Darcula 網(wǎng)絡(luò)釣魚(yú)服務(wù)
安全研究人員 Oshri Kalfon 去年夏天首次記錄了 Darcula 網(wǎng)絡(luò)釣魚(yú)服務(wù)。Netcraft 分析師指出,目前該服務(wù)在網(wǎng)絡(luò)犯罪領(lǐng)域越來(lái)越受歡迎,已經(jīng)被用于幾起備受矚目的案件中。
相比傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)服務(wù),Darcula 采用了 JavaScript、React、Docker 和 Harbor 等現(xiàn)代技術(shù),成功實(shí)現(xiàn)了持續(xù)更新和新功能添加,“客戶”無(wú)需重新安裝網(wǎng)絡(luò)釣魚(yú)工具包。
從研究人員透露的信息來(lái)看,Darcula 網(wǎng)絡(luò)釣魚(yú)工具包提供 200 個(gè)網(wǎng)絡(luò)釣魚(yú)模板,可假冒 100 多個(gè)國(guó)家的品牌和組織。不僅如此,Darcula 使用了正確的本地語(yǔ)言、徽標(biāo)和內(nèi)容,虛假登陸頁(yè)面質(zhì)量非常高。
Darcula 工具包中的登陸頁(yè)面(Netcraft)
威脅攻擊者只需選擇一個(gè)想要假冒的組織品牌,然后運(yùn)行一個(gè)設(shè)置腳本,將相應(yīng)的釣魚(yú)網(wǎng)站及其管理面板直接安裝到 Docker 環(huán)境中。
研究人員指出,Darcula 服務(wù)通常使用".top "和".com "頂級(jí)域名來(lái)托管用于釣魚(yú)攻擊的目的注冊(cè)域名,其中大約三分之一的域名由 Cloudflare 支持。Netcraft 已經(jīng)成功繪制了橫跨 11000 個(gè) IP 地址的 20000 個(gè) Darcula 域名。(據(jù)悉,欺詐域名以每天 120 個(gè)的數(shù)量激增)
Darcula 服務(wù)放棄了短信欺詐
Darcula 服務(wù)放棄了傳統(tǒng)的基于短信的策略,改為利用 RCS(Android)和 iMessage(iOS)向受害者發(fā)送帶有釣魚(yú) URL 鏈接的信息,這樣做收件人更容易上當(dāng)。此外,由于 RCS 和 iMessage 支持端到端加密,因此無(wú)法根據(jù)其內(nèi)容攔截和阻止網(wǎng)絡(luò)釣魚(yú)信息。
從 Darcula 發(fā)送的 RCS 消息(Netcraft)
Netcraft 表示,全球范圍內(nèi)正在加緊通過(guò)遏制基于短信的網(wǎng)絡(luò)犯罪活動(dòng)的立法,以期推動(dòng) PhaaS 平臺(tái)轉(zhuǎn)向 RCS 和 iMessage 等替代協(xié)議,但這些協(xié)議都有自身的局限性。例如,蘋(píng)果禁止賬戶向多個(gè)收件人發(fā)送大量信息,谷歌最近也實(shí)施了一項(xiàng)限制措施,禁止已 root 的安卓設(shè)備發(fā)送或接收 RCS 信息。
然而,網(wǎng)絡(luò)犯罪分子試圖通過(guò)創(chuàng)建多個(gè) Apple ID 和使用大量設(shè)備,從每個(gè)設(shè)備中發(fā)送處少量信息來(lái)規(guī)避這些限制。
此外,iMessage 中還有一項(xiàng)保護(hù)措施,即只有收件人回復(fù)了信息,才被允許點(diǎn)擊 URL 鏈接。為了繞過(guò)這些防御措施,釣魚(yú)信息指示收件人回復(fù) "Y "或"1",然后重新打開(kāi)信息,點(diǎn)擊鏈接。
通過(guò) iMessage 發(fā)送的釣魚(yú)信息(Netcraft)
最后,研究人員強(qiáng)調(diào),用戶應(yīng)該以懷疑的態(tài)度對(duì)待所有催促其點(diǎn)擊 URL 鏈接的信息,尤其是在發(fā)件人不明確的情況下。
參考文章:https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/
