Son zamanlarda keşfedilen Darcula adında yeni bir phishing hizmeti, 20.000 alan adını kullanarak 100’den fazla ülkede Android ve iPhone kullanıcılarından kimlik bilgilerini çalmak için markaları taklit ediyor. Darcula, posta, finans, hükümet, vergi daireleri, telekom şirketleri, havayolları gibi çeşitli hizmetler ve kuruluşlar aleyhine kullanılmıştır ve dolandırıcılara seçebilecekleri 200’den fazla şablon sunmaktadır.
Bu hizmeti öne çıkaran şey, phishing mesajlarını göndermek için SMS yerine Google Messages ve iMessage için Rich Communication Services (RCS) protokolünü kullanan bir yöntem olmasıdır. Darcula, güvenlik araştırmacısı Oshri Kalfon tarafından ilk kez geçen yaz belgelenmiş olsa da, Netcraft analistlerine göre platformun siber suçlar alanında daha popüler hale geldiği ve son zamanlarda birkaç önde gelen vakada kullanıldığı bildirilmektedir.
Darcula, JavaScript, React, Docker ve Harbor gibi modern teknolojileri kullanarak sürekli güncellemeler ve yeni özellikler eklemeyi mümkün kılar. Ayrıca 200’den fazla phishing şablonu sunarak 100’den fazla ülkede markaları taklit eden ve kuruluşları simüle eden yüksek kaliteli landing sayfaları sunmaktadır. Darcula, sahtekarlar tarafından seçilen bir markayı taklit eder ve karşılık gelen phishing sitesini ve yönetim tablosunu (dashboard) Docker ortamına doğrudan yükleyen bir kurulum betiği çalıştırır.
Darcula servisi genellikle “top” ve “.com” üst düzey alan adlarını kullanırken, bu alanlara özgü alanları barındırmak için Cloudflare ile desteklenen yaklaşık üçte birinin başvurduğu belirtilmektedir. Netcraft, 11.000 IP adresinde 20.000 Darcula alan adını haritaladı ve günlük 120 yeni alan eklenmektedir. Darcula, geleneksel SMS tabanlı taktiklerden ayrılarak Android için RCS ve iOS için iMessage gibi iletişim protokollerini kullanır.
Bu platformların phishing mesajlarını engelleyen SMS’te bulunmayan ek korumaları güvenilmeye layık gören alıcıların daha olası olduğu ifade edilmektedir. Cybercriminals have to overcome these restrictions,”Darcula” da iletileri engelleyen korumaları aşmak zorunda kalıyor.
