Ein neu aufgetauchter Phishing-as-a-Service (PhaaS) namens „Darcula“ nutzt über 20.000 Domains, um Marken zu fälschen und Anmeldeinformationen von Android- und iPhone-Nutzern in mehr als 100 Ländern zu stehlen. Darcula hebt sich durch den Einsatz des Rich Communication Services (RCS) Protokolls für Google Messages und iMessage ab, statt herkömmliche SMS für Phishing-Nachrichten zu verwenden.

Über Darcula

Erstmals dokumentiert im Sommer durch den Sicherheitsforscher Oshri Kalfon, hat Netcraft beobachtet, dass Darcula im kriminellen Cyberspace an Popularität gewonnen hat und kürzlich in mehreren hochkarätigen Fällen eingesetzt wurde. Darcula nutzt moderne Technologien wie JavaScript, React, Docker und Harbor, was kontinuierliche Updates und neue Funktionserweiterungen ohne Notwendigkeit einer Neuinstallation der Phishing-Kits ermöglicht.

Zielscheibe verschiedener Branchen

Darcula wird gegen Dienste und Organisationen verschiedener Branchen eingesetzt, darunter Postdienste, Finanzinstitute, Regierungs- und Steuerbehörden, Telekommunikationsunternehmen, Fluggesellschaften und Versorgungsunternehmen. Betrüger können aus über 200 Vorlagen wählen, wobei die Landingpages hochwertig sind und korrekte lokale Sprache, Logos und Inhalte nutzen.

Landingpage im Darcula-Kit (Netcraft)
Landingpage im Darcula-Kit (Netcraft)

Innovative Nachrichtenzustellung

Im Gegensatz zu herkömmlichen Phishing-Methoden, die SMS verwenden, setzt Darcula auf RCS (für Android) und iMessage (für iOS), um Opfer anzusprechen. Dies erhöht die Wahrscheinlichkeit, dass die Empfänger die Kommunikation als legitim ansehen, und nutzt die zusätzlichen Sicherheitsmaßnahmen, die in SMS nicht verfügbar sind.

Herausforderungen und Maßnahmen

Cyberkriminelle müssen jedoch Einschränkungen dieser Protokolle überwinden, wie z.B. das Verbot von Apple-Konten, die eine hohe Anzahl von Nachrichten an mehrere Empfänger senden. Darcula-Betrüger versuchen, diese Einschränkungen durch die Erstellung mehrerer Apple-IDs und die Nutzung von Gerätefarmen zu umgehen, um nur eine geringe Anzahl von Nachrichten pro Gerät zu senden.

Schutzmaßnahmen

Nutzer sollten alle eingehenden Nachrichten, die sie zum Anklicken von URLs auffordern, insbesondere wenn der Absender unbekannt ist, mit Vorsicht behandeln. Unabhängig von der Plattform oder App werden Phishing-Akteure weiterhin mit neuen Zustellungsmethoden experimentieren. Netcraft empfiehlt auch, auf ungenaue Grammatik, Rechtschreibfehler, übermäßig attraktive Angebote oder Dringlichkeitsaufrufe zu achten.

Mit seiner ausgeklügelten Herangehensweise und der Nutzung moderner Technologien repräsentiert Darcula eine signifikante Bedrohung im Phishing-Bereich, insbesondere für Nutzer mobiler Geräte.