Фишинговая кампания Darcula атакует iPhone через iMessage, Android – через RCS

«Darcula» — это новая киберугроза, которая распространяется через «phishing-as-a-service» (PhaaS) и использует 20 000 доменов для выдачи себя за бренды и кражи учетных данных пользователей смартфонов Android и iPhone. Dercula распространилась более чем в 100 странах и атакует организации в финансовом, правительственном, налоговом, телекоммуникационном и авиационном секторах.

Darcula имеет более 200 шаблонов сообщений для новичков и опытных пользователей и характеризуется использованием протокола Rich Communication Services (RCS) для Google Messages (для атак на Android) и iMessage (для атак на iPhone), что означает, что протокол RCS используется для обоих. Таким образом, SMS в эту схему не включены.

Первым Darcula заметил эксперт Netcraft Ошри Калон. Как отметил исследователь, платформа используется для сложных фишинговых атак. Операторы используют JavaScript, React, Docker и Harbor и постоянно обновляют набор новыми функциями. Злоумышленники выбирают известные бренды и маскируют свои веб-ресурсы под официальные сайты этих компаний. Часто таким образом выглядят посадочные страницы:

Для отправки фишинговых URL злоумышленники отказались от стандартных SMS-сообщений и стали использовать более сложные RCS (Android) и iMessage (iOS).

Ранее стало известно, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.