近日，研究人員發(fā)現(xiàn)一種名為 "Darcula "的新型網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）使用 20000 個虛假域名，盜取了大量 Android 和 iPhone 用戶的憑證。

Darcula 目前已被用于針對全球 100 多個國家的各種服務(wù)和組織，涵蓋了郵政、金融、政府、稅務(wù)部門、電信公司、航空公司公用事業(yè)公司，為威脅攻擊者提供了 200 多個“模板”供其選擇。

值得一提的是，Darcula 服務(wù)與其它類型的釣魚服務(wù)有一些差別，它主要使用谷歌信息和 iMessage 的富通信服務(wù)（RCS）協(xié)議發(fā)送釣魚信息（其它類型的釣魚服務(wù)大都使用短信）。

Darcula 網(wǎng)絡(luò)釣魚服務(wù)

安全研究人員 Oshri Kalfon 去年夏天首次記錄了 Darcula 網(wǎng)絡(luò)釣魚服務(wù)。Netcraft 分析師指出，目前該服務(wù)在網(wǎng)絡(luò)犯罪領(lǐng)域越來越受歡迎，已經(jīng)被用于幾起備受矚目的案件中。

相比傳統(tǒng)網(wǎng)絡(luò)釣魚服務(wù)，Darcula 采用了 JavaScript、React、Docker 和 Harbor 等現(xiàn)代技術(shù)，成功實現(xiàn)了持續(xù)更新和新功能添加，“客戶”無需重新安裝網(wǎng)絡(luò)釣魚工具包。

從研究人員透露的信息來看，Darcula 網(wǎng)絡(luò)釣魚工具包提供 200 個網(wǎng)絡(luò)釣魚模板，可假冒 100 多個國家的品牌和組織。不僅如此，Darcula 使用了正確的本地語言、徽標和內(nèi)容，虛假登陸頁面質(zhì)量非常高。

Darcula 工具包中的登陸頁面（Netcraft）

威脅攻擊者只需選擇一個想要假冒的組織品牌，然后運行一個設(shè)置腳本，將相應(yīng)的釣魚網(wǎng)站及其管理面板直接安裝到 Docker 環(huán)境中。

研究人員指出，Darcula 服務(wù)通常使用".top "和".com "頂級域名來托管用于釣魚攻擊的目的注冊域名，其中大約三分之一的域名由 Cloudflare 支持。Netcraft 已經(jīng)成功繪制了橫跨 11000 個 IP 地址的 20000 個 Darcula 域名。（據(jù)悉，欺詐域名以每天 120 個的數(shù)量激增）

Darcula 服務(wù)放棄了短信欺詐

Darcula 服務(wù)放棄了傳統(tǒng)的基于短信的策略，改為利用 RCS（Android）和 iMessage（iOS）向受害者發(fā)送帶有釣魚 URL 鏈接的信息，這樣做收件人更容易上當。此外，由于 RCS 和 iMessage 支持端到端加密，因此無法根據(jù)其內(nèi)容攔截和阻止網(wǎng)絡(luò)釣魚信息。

從 Darcula 發(fā)送的 RCS 消息（Netcraft）

Netcraft 表示，全球范圍內(nèi)正在加緊通過遏制基于短信的網(wǎng)絡(luò)犯罪活動的立法，以期推動 PhaaS 平臺轉(zhuǎn)向 RCS 和 iMessage 等替代協(xié)議，但這些協(xié)議都有自身的局限性。例如，蘋果禁止賬戶向多個收件人發(fā)送大量信息，谷歌最近也實施了一項限制措施，禁止已 root 的安卓設(shè)備發(fā)送或接收 RCS 信息。

然而，網(wǎng)絡(luò)犯罪分子試圖通過創(chuàng)建多個 Apple ID 和使用大量設(shè)備，從每個設(shè)備中發(fā)送處少量信息來規(guī)避這些限制。

此外，iMessage 中還有一項保護措施，即只有收件人回復(fù)了信息，才被允許點擊 URL 鏈接。為了繞過這些防御措施，釣魚信息指示收件人回復(fù) "Y "或"1"，然后重新打開信息，點擊鏈接。

通過 iMessage 發(fā)送的釣魚信息（Netcraft）

最后，研究人員強調(diào)，用戶應(yīng)該以懷疑的態(tài)度對待所有催促其點擊 URL 鏈接的信息，尤其是在發(fā)件人不明確的情況下。

參考文章：https://www.bleepingcomputer.com/news/security/new-darcula-phishing-service-targets-iphone-users-via-imessage/