El phishing como servicio ha alcanzado su madurez con lo que se considera la operación de estafa de paquetes más generalizada a nivel mundial hasta la fecha.
La plataforma de phishing como servicio «Darcula» ha creado 19.000 dominios en ataques cibernéticos contra más de 100 países, dicen los investigadores. La plataforma ofrece a los ciberdelincuentes fácil acceso a campañas de phishing de marca por precios de suscripción de alrededor de 250 dólares al mes, según investigadores del proveedor de seguridad de infraestructura de Internet Netcraft.
Las plataformas de phishing como servicio no son nuevas, pero Darcula eleva el listón con mayor sofisticación técnica. Ejecuta muchas de las mismas herramientas empleadas por los desarrolladores de aplicaciones, incluidas JavaScript, React, Docker y Harbor.
Darcula utiliza iMessage y RCS (Rich Communication Services) en lugar de SMS para enviar mensajes de texto, una característica que permite que los mensajes fraudulentos enviados a través de la plataforma eviten los cortafuegos de SMS, que normalmente bloquean la entrega de mensajes sospechosos.
Estafa de entrega de paquetes
La plataforma Darcula ofrece una fácil implementación de sitios de phishing con cientos de plantillas dirigidas a marcas de todo el mundo, incluidas Kuwait Post, la empresa de telecomunicaciones Etisalat con sede en los Emiratos Árabes Unidos, Jordan Post, Saudi Post, Australia Post, Singapore Post y servicios postales en Sudáfrica, Nigeria, Marruecos. y más.
A diferencia de ataques recientes como Fluffy Wolf , las estafas de Darcula generalmente se dirigen a consumidores y no a empresas.
Los ataques de phishing mediante mensajes de texto, también conocidos como smishing , han sido un peligro durante años. Los ciberdelincuentes intentan utilizar mensajes de «paquete perdido» o similares para engañar a posibles marcas para que visiten sitios falsos (disfrazados de empresas postales o bancos) y entreguen los detalles de sus tarjetas de pago o su información personal. Google ha tomado medidas para bloquear los mensajes RCS de los teléfonos rooteados , pero el esfuerzo sólo ha tenido un éxito parcial.
La investigadora de seguridad israelí Oshri Kalfon comenzó a investigar a Darcula el año pasado después de recibir un mensaje fraudulento en hebreo.
Kalfron descubrió innumerables pistas sobre el funcionamiento de la plataforma después de rastrear las raíces de la estafa hasta un sitio de control cuyo panel de administración era fácil de piratear porque los estafadores habían olvidado cambiar las credenciales de inicio de sesión predeterminadas.
La plataforma Darcula cuenta con soporte para alrededor de 200 plantillas de phishing, que abarcan una variedad de marcas. Los servicios postales de todo el mundo son el objetivo principal, pero también se encuentran en la lista otras organizaciones orientadas al consumidor, incluidas empresas de servicios públicos, instituciones financieras, organismos gubernamentales (departamentos de impuestos, etc.), aerolíneas y proveedores de telecomunicaciones.
Una característica de las estafas basadas en Darcula son dominios creados expresamente, en lugar de dominios legítimos pirateados. Los dominios de nivel superior (TLD) más comunes utilizados para darcula son .top y .com, seguidos de numerosos TLD genéricos de bajo costo. Alrededor de un tercio (32%) de las páginas de Darcula abusan de Cloudflare, una opción preferida en la documentación de Darcula. También se abusa de Tencent, Quadranet y Multacom como anfitriones.