Un servizio di phishing noto come “Darcula” sta emergendo nel panorama della cybersecurity, sfruttando oltre 20.000 domini per impersonare marchi noti e rubare credenziali sia agli utenti Android che iPhone in più di 100 paesi. Questo servizio di phishing come servizio (PhaaS) si distingue per l’utilizzo dei protocolli di Servizi di Comunicazione Ricca (RCS) per Google Messages e iMessage al posto degli SMS tradizionali per l’invio di messaggi di phishing.
Caratteristiche Distintive di Darcula
Darcula, segnalato per la prima volta dall’analista di sicurezza Oshri Kalfon, sta guadagnando popolarità nello spazio del cybercrime e la società Netcraft ha redatto una ricerca. Questo servizio offre agli utenti malintenzionati oltre 200 template tra cui scegliere, per impersonare vari servizi e organizzazioni, dalle poste ai dipartimenti governativi e finanziari, fino a telecomunicazioni, compagnie aeree e servizi pubblici.
Tecnologie e Metodi Innovativi
A differenza dei metodi di phishing tradizionali, Darcula utilizza tecnologie moderne come JavaScript, React, Docker e Harbor. Questo permette aggiornamenti continui e l’aggiunta di nuove funzionalità senza che i clienti debbano reinstallare i kit di phishing. I kit offrono 200 template che impersonano marchi e organizzazioni in più di 100 paesi, con pagine di destinazione di alta qualità che utilizzano la lingua, i loghi e i contenuti locali corretti.
Superamento delle Restrizioni di SMS
Darcula si allontana dalle tattiche basate sugli SMS e utilizza invece RCS (per Android) e iMessage (per iOS) per inviare ai destinatari messaggi con link verso l’URL di phishing. Questo approccio aumenta la probabilità che i destinatari percepiscano la comunicazione come legittima, affidandosi alle maggiori garanzie di sicurezza che non sono disponibili negli SMS.
Sfide e Limitazioni
Nonostante i vantaggi, l’utilizzo di RCS e iMessage presenta delle sfide per i cybercriminali, come il divieto da parte di Apple di account che inviano un alto volume di messaggi a più destinatari e le recenti restrizioni di Google che impediscono ai dispositivi Android con root di inviare o ricevere messaggi RCS. Per superare queste limitazioni, i criminali informatici creano più ID Apple e utilizzano farm di dispositivi per inviare un piccolo numero di messaggi da ciascun dispositivo.
Raccomandazioni per gli Utenti
Gli utenti dovrebbero trattare con sospetto tutti i messaggi in arrivo che li esortano a fare clic su URL, specialmente se il mittente non è riconosciuto. Indipendentemente dalla piattaforma o dall’app, gli attori delle minacce di phishing continueranno a sperimentare nuovi metodi di consegna. È consigliato prestare attenzione a errori grammaticali, offerte eccessivamente allettanti o richieste di azioni urgenti.
