Darcula Kimlik Avı Ağı: Tespit Edilmekten Kaçınmak için RCS ve iMessage'dan Yararlanma
Darcula adlı gelişmiş bir hizmet olarak kimlik avı (PhaaS) platformu, siber suçluların geniş ölçekte saldırılar başlatmasına yardımcı olmak için 20.000'den fazla sahte alan adından oluşan devasa bir ağdan yararlanarak 100'den fazla ülkedeki kuruluşlara gözünü dikti.
Netcraft, "Metin mesajları göndermek için SMS yerine iMessage ve RCS kullanmak, USPS'yi posta hizmetleri ve 100+ ülkedeki diğer yerleşik kuruluşlarla birlikte hedeflemek için büyük bir etki için kullanılan SMS güvenlik duvarlarını atlamanın yan etkisine sahiptir" dedi.
Darcula, geçen yıl boyunca, USPS gibi meşru hizmetleri taklit ederek paket teslimat cazibelerinden yararlananlara ek olarak, smishing mesajlarının Birleşik Krallık'taki hem Android hem de iOS kullanıcılarına gönderildiği birkaç yüksek profilli kimlik avı saldırısında kullanıldı.
Çince bir PhaaS olan Darcula, Telegram'da tanıtılıyor ve müşterilerin kimlik avı siteleri kurmak ve kötü niyetli faaliyetlerini gerçekleştirmek için aylık bir ücret karşılığında yararlanabilecekleri meşru markaları taklit eden yaklaşık 200 şablon için destek sunuyor.
Şablonların çoğu posta hizmetlerini taklit edecek şekilde tasarlanmıştır, ancak aynı zamanda kamu ve özel kamu hizmetlerini, finans kurumlarını, devlet kurumlarını (örneğin, vergi departmanları), havayollarını ve telekomünikasyon kuruluşlarını da içerir.
Kimlik avı siteleri, bir meşruiyet cilası eklemek için ilgili marka adlarını taklit eden amaca yönelik kayıtlı alan adlarında barındırılır. Bu alan adları Cloudflare, Tencent, Quadranet ve Multacom tarafından desteklenmektedir.
Toplamda, 20,000 IP adresinde 11,000'den fazla Darcula ile ilgili alan adı tespit edildi ve 120'ün başından bu yana günde ortalama 2024 yeni alan adı tespit edildi. PhaaS hizmetinin bazı yönleri Temmuz 2023'te İsrailli güvenlik araştırmacısı Oshri Kalfon tarafından ortaya çıkarıldı.
Darcula'ya yapılan ilginç eklemelerden biri, kimlik avı kitini çıkarıp yeniden yüklemek zorunda kalmadan kimlik avı sitelerini yeni özellikler ve algılama önleme önlemleriyle güncelleme yeteneğidir.
İngiltere merkezli şirket, "Ön sayfada, Darcula siteleri, muhtemelen yayından kaldırma çabalarını bozmak için bir gizleme biçimi olarak, satılık/bekletme sayfası için sahte bir alan adı gösteriyor" dedi. "Önceki yinelemelerde, Darcula'nın anti-izleme mekanizması, bot olduğuna inanılan ziyaretçileri (potansiyel kurbanlar yerine) çeşitli kedi ırkları için Google aramalarına yönlendiriyordu."
Darcula'nın smishing taktikleri, SMS yerine öncelikle Apple iMessage ve Google Mesajlar'da kullanılan RCS (Zengin İletişim Hizmetleri) protokolünden yararlandıkları ve böylece dolandırıcılık mesajlarının potansiyel kurbanlara teslim edilmesini önlemek için ağ operatörleri tarafından uygulanan bazı filtrelerden kaçındıkları için özel bir dikkat gerektiriyor.
"RCS ve iMessage'daki uçtan uca şifreleme, son kullanıcılar için değerli bir gizlilik sağlarken, aynı zamanda mesajların içeriğini ağ operatörlerinin incelemesini imkansız hale getirerek, Google ve Apple'ın cihaz içi spam algılama ve üçüncü taraf spam filtresi uygulamalarını bu mesajların kurbanlara ulaşmasını engelleyen birincil savunma hattı olarak bırakarak suçluların bu mevzuatın gerektirdiği filtrelemeden kaçmasına olanak tanır. " Netcraft eklendi.
"Ek olarak, SMS için tipik olan mesaj başına herhangi bir ücrete tabi değiller ve teslimat maliyetini düşürüyorlar."
Geleneksel SMS tabanlı kimlik avından ayrılma bir yana, Darcula'nın smishing mesajlarının bir başka dikkate değer yönü, iMessage'da, mesaj bilinen bir gönderenden gelmediği sürece bağlantıların tıklanabilir olmasını engelleyen bir güvenlik önlemini aşmaya yönelik sinsi girişimleridir.
Bu, kurbana bir "Y" veya "1" mesajıyla yanıt vermesi ve ardından bağlantıyı takip etmek için konuşmayı yeniden açması talimatını vermeyi gerektirir. r/phishing subreddit'te yayınlanan böyle bir mesaj, kullanıcıların USPS paketi için eksik bir teslimat adresi sağladıklarını iddia ederek URL'yi tıklamaya ikna edildiğini gösteriyor.
Bu iMessage'lar pl4396@gongmiaq.com ve mb6367587@gmail.com gibi e-posta adreslerinden gönderilir, bu da operasyonun arkasındaki tehdit aktörlerinin sahte e-posta hesapları oluşturduğunu ve mesajları göndermek için bunları Apple'a kaydettirdiğini gösterir.
Google, kısa bir süre önce, spam ve kötüye kullanımı azaltmak için köklü Android cihazlarda RCS kullanarak mesaj gönderme yeteneğini engellediğini söyledi.
Bu saldırıların nihai amacı, alıcıları sahte siteleri ziyaret etmeleri ve kişisel ve finansal bilgilerini dolandırıcılara teslim etmeleri için kandırmaktır. Darcula'nın Çince konuşan e-suç gruplarına yönelik olduğunu gösteren kanıtlar var.
Kimlik avı kitleri, daha az vasıflı suçluların bir saldırı gerçekleştirmek için gereken adımların çoğunu otomatikleştirmesine izin verdiği ve böylece giriş engellerini azalttığı için ciddi sonuçlar doğurabilir.
Gelişme, Apple'ın parola sıfırlama özelliğinden yararlanan ve kullanıcıları hesaplarını ele geçirme umuduyla hızlı bombalama (diğer adıyla MFA yorgunluğu) saldırısı olarak adlandırılan şeyle bombalayan yeni bir kimlik avı saldırısı dalgasının ortasında geliyor.
Bir kullanıcının tüm istekleri reddetmeyi başardığını varsayarsak, "dolandırıcılar daha sonra arayan kimliğinde Apple desteğini taklit ederken kurbanı arayacak, kullanıcının hesabının saldırı altında olduğunu ve Apple desteğinin tek seferlik bir kodu 'doğrulaması' gerektiğini söyleyecektir" dedi güvenlik gazetecisi Brian Krebs.
Sesli kimlik avcılarının, başarı olasılığını artırmak için kişilerin arama web sitelerinden elde edilen kurbanlar hakkındaki bilgileri kullandığı ve nihayetinde "kullanıcının cihazına gönderilecek bir Apple Kimliği sıfırlama kodunu tetiklediği" ve bu kodun sağlandığı takdirde saldırganların hesaptaki parolayı sıfırlamasına ve kullanıcıyı kilitlemesine olanak tanıdığı tespit edildi.
Faillerin iforgot.apple'daki şifre sıfırlama sayfasındaki bir eksikliği kötüye kullandıklarından şüpheleniliyor[.] com, hız sınırlama korumalarını atlayacak şekilde parola değişikliği için düzinelerce istek göndermek için.
Bulgular ayrıca, F.A.C.C.T.'nin SIM takasçılarının, kurbanın çevrimiçi hizmetlerine yetkisiz erişim elde etmek için hedef kullanıcının telefon numarasını gömülü bir SIM (eSIM) ile kendi cihazlarına aktardığına dair araştırmasını da takip ediyor. Uygulamanın vahşi doğada en az bir yıldır kullanıldığı söyleniyor.
Bu, operatörün web sitesinde veya uygulamasında, kurban kılığına girerek numarayı fiziksel bir SIM karttan bir eSIM'e aktarmak için bir uygulama başlatarak gerçekleştirilir ve eSIM QR Kodu oluşturulup etkinleştirilir etkinleştirilmez yasal sahibinin numaraya erişimini kaybetmesine neden olur.
Güvenlik araştırmacısı Dmitry Dudkov, "Kurbanın cep telefonu numarasına erişim sağlayan siber suçlular, bankalar ve mesajlaşma programları da dahil olmak üzere çeşitli hizmetlere erişim kodları ve iki faktörlü kimlik doğrulama elde edebilir ve bu da suçluların dolandırıcılık planları uygulaması için bir dizi fırsat sunar" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı