Платформа Darcula «фішинг як послуга» (PhaaS) готується до випуску своєї третьої основної версії з однією з основних функцій — можливістю створювати набори для фішингу «зроби сам» для будь-якого бренду. Про це повідомляє Bleeping Computer.
Майбутній випуск, який наразі доступний як бета-версія, зніме обмеження щодо сфери націлювання, пропонуючи обмежену кількість наборів для фішингу та даючи можливість будь-кому створювати власні.
На додаток до цієї нової функції, майбутній випуск під назвою Darcula Suite також підвищує вимоги до технічних навичок, пропонує нову зручну інформаційну панель адміністратора, фільтрацію IP-адрес і ботів, вимірювання ефективності кампанії та автоматичне завантаження кредитних карток/цифрового гаманця.
Дослідники Netcraft протестували одну з останніх бета-версій Darcula Suite для практичного аналізу та підтвердили, що анонсовані функції є законними.
Darcula з’явилася минулого року як масштабна операція PhaaS, що спирається на 20 тисяч доменів, які підробляють відомі бренди, щоб викрасти облікові дані користувачів Android та iOS у понад 100 країнах.
Оскільки розробляється набагато потужніша версія, Netcraft попереджає, що кіберзлочинці переходять на неї, навіть якщо офіційний випуск ще не вийшов.
«Оскільки зображення контейнерів, які використовуються для запуску панелі адміністратора, є загальнодоступними в registry[.]magic-cat[.]world, Netcraft змогла отримати приблизну оцінку кількості людей, які вже вивчають цей набір тестів. З 5 до 10 лютого кількість отриманих зображень API зросла більш ніж на 100%, а вебзображень — більш ніж на 50%», — йдеться у звіті.
Основною особливістю майбутнього Darcula Suite є генератор набору для фішингу своїми руками, який дозволяє клієнтам вставляти URL-адресу бренду, який вони хочуть імітувати. Потім платформа автоматично згенерує всі необхідні шаблони для атаки.
Платформа клонує законний сайт за допомогою інструменту Puppeteer, копіюючи HTML, CSS, зображення та JavaScript, щоб зберегти оригінальний дизайн.
Шахрай може вибрати, які елементи змінити, наприклад поля для входу, платіжні форми та підказки двофакторної автентифікації, замінити їх фішинговими сторінками, використовувати власні повідомлення про помилки або змінити JavaScript для викрадення вхідних даних.
Darcula Suite пропонує готові шаблони, як-от підроблені сторінки для скидання пароля, форми оплати кредитною карткою та підказки для введення коду 2FA.
Після налаштування фішинговий сайт упаковується в пакет .cat-page, що містить усі файли, необхідні для атаки.
Потім набір завантажується в панель адміністратора Darcula, щоб дозволити розгортання, централізоване керування, крадіжку даних у реальному часі та моніторинг продуктивності.
Окрім нової системи DIY, Darcula 3.0 пропонує:
- Функції захисту від виявлення з рандомізованими шляхами розгортання, фільтрацією IP-адрес, блокуванням сканера й обмеженнями типу пристрою.
- Нова панель адміністратора зі спрощеним керуванням фішинговими кампаніями, інформаційною панеллю продуктивності, журналами викрадених облікових даних у реальному часі та сповіщеннями Telegram, коли жертва надсилає конфіденційну інформацію.
- Новий інструмент для перетворення даних викрадених кредитних карток у зображення віртуальних карток, які можна додавати до програм для цифрових платежів.
Netcraft каже, що групи Telegram, пов’язані з Darcula, вже просувають телефони-записувачі з попередньо завантаженими декількома вкраденими картками для продажу, що є ще однією ознакою збільшення популярності нової версії Darcula.
Представлення Darcula 3.0 і його потужних нових функцій робить виявлення та припинення фішингових кампаній ще складнішим, а простота використання останньої версії гарантує збільшення обсягів фішингу.
Netcraft коментує, що за останні 10 місяців вона виявила та заблокувала майже 100 тисяч доменів Darcula 2.0, 20 тисяч фішингових сайтів і 31 тисячу IP-адрес, пов’язаних із платформою.
Раніше ProIT повідомляв, що російські хакери використовують функцію Ngrok та експлойт WinRAR для атак на посольства під виглядом продажу автомобілів BMW.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
