Ce kit propose 200 modèles de phishing qui usurpent l'identité de marques et d'organisations dans plus de 100 pays pour piéger les victimes.
Si les outils de prévention et de protection des données des utilisateurs sur Internet évoluent, c'est hélas la même chanson pour les cyberpirates, qui ne manquent pas de créativité pour améliorer leurs attaques. La dernière en date et aussi l'une des plus sophistiquées, baptisée Darcula, se présente sous la forme d'un phishing-as-a-service (PhaaS) proposant un catalogue de 200 modèles de kits de pièges prêts à l'emploi.
Ce système très structuré utilise plus de 20 000 domaines pour imiter des marques ou sites web populaires pour tromper les utilisateurs, qu'ils contactent non pas par SMS, mais en passant par le protocole RCS pour Google Messages et iMessage. Darcula a déjà sévi à travers 100 pays dans le monde.
Darcula, un fonctionnement hautement sophistiqué
Contrairement aux méthodes de phishing traditionnelles, Darcula utilise des technologies modernes telles que JavaScript, React, Docker et Harbor, permettant des mises à jour continues et des ajouts de nouvelles fonctionnalités sans que les « clients » aient besoin de réinstaller les kits de phishing.
Le kit de phishing propose 200 modèles de phishing qui usurpent l'identité de marques et d'organisations dans plus de 100 pays. Les pages ainsi piratées sont de haute qualité et utilisent la langue locale des victimes ciblées, les logos et le contenu quasiment indétectables des originaux.
Les fraudeurs sélectionnent une marque pour usurper l'identité et exécutent un script de configuration qui installe le site de phishing correspondant et son tableau de bord de gestion directement dans un environnement Docker.
Le système utilise le registre de conteneurs open source Harbor pour héberger l'image Docker, tandis que les sites de phishing sont développés à l'aide de React.
Les chercheurs de la société anglaise de sécurité Internet Netcraft affirment que le service Darcula utilise généralement les domaines de premier niveau « .top » et « .com » pour héberger des domaines spécifiquement enregistrés pour les attaques de phishing, tandis qu'environ un tiers d'entre eux sont soutenus par Cloudflare.
Netcraft a cartographié 20 000 domaines Darcula sur 11 000 adresses IP, avec 120 nouveaux domaines ajoutés quotidiennement. De quoi siphonner une quantité astronomique de données personnelles d'utilisateurs Android et iOS.
Apple et Google contrattaquent pour protéger les utilisateurs de Darcula
Darcula se distingue des tactiques traditionnelles basées sur les SMS et utilise à la place RCS (Android) et iMessage (iOS), qui a récemment été contraint d'adopter ce standard de communication pour envoyer des messages aux victimes avec des liens vers l'URL de phishing.
L'avantage est que les destinataires sont plus susceptibles de percevoir la communication comme légitime, faisant confiance aux garanties supplémentaires qui ne sont pas disponibles dans les SMS.
De plus, comme RCS et iMessage prennent en charge le cryptage de bout en bout, il est impossible d'intercepter et de bloquer les messages de phishing en fonction de leur contenu. Les pirates utilisent donc les outils de protection des protocoles qu'ils piratent à leur propre service.
Netcraft commente que les récents efforts législatifs mondiaux visant à lutter contre la cybercriminalité basée sur les SMS en bloquant les messages suspects poussent probablement les plateformes PhaaS vers des protocoles alternatifs tels que RCS et iMessage.
Cependant, ces protocoles comportent leurs propres restrictions que les cybercriminels doivent surmonter.
Par exemple, Apple interdit aux comptes d'envoyer de gros volumes de messages à plusieurs destinataires, et Google a récemment mis en place une restriction empêchant les appareils Android rootés d'envoyer ou de recevoir des messages RCS.
Les cybercriminels tentent de contourner ces limitations en créant plusieurs identifiants Apple et en utilisant des fermes d'appareils, comme en Chine, pour envoyer un petit nombre de messages depuis chaque appareil.
Un obstacle plus difficile est une protection dans iMessage qui permet aux destinataires de cliquer sur un lien URL uniquement s'ils ont répondu au message.
Pour contourner cette mesure, le message de phishing demande au destinataire de répondre par un « Y » ou un « 1 », puis de rouvrir le message pour suivre le lien. Ce processus peut créer des frictions susceptibles de réduire l’efficacité de l’attaque de phishing.
Les utilisateurs doivent traiter tous les messages entrants les invitant à cliquer sur des URL avec suspicion, surtout si l'expéditeur n'est pas reconnu. Quelle que soit la plateforme ou l’application, les auteurs de menaces de phishing continueront d’expérimenter de nouvelles méthodes de diffusion.
Les chercheurs de Netcraft recommandent également de prêter attention aux erreurs de grammaire, aux fautes d’orthographe, aux offres trop attractives ou aux appels à des actions urgentes.
Source : Netcraft, Bleeping Computer
Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issue de la génération Facebook que la guerre intestine entre Mac et PC passionne encore. En daronne avisée, Internet, ses outils, pratiques et régulation font partie de mes loisirs favoris (ça, le lineart, le tricot et les blagues pourries). Ma devise: l'essayer, c'est l'adopter, mais en toute sécurité.
Lire d'autres articles
