Специалист по кибербезопасности Ошри Калон из компании Netcraft обнаружил новую фишинговую кампанию под названием Darcula, нацеленную на подмену страниц известных брендов для последующей кражи учётных записей пользователей iPhone и Android-смартфонов.
Особенность этой фишинговой киберугрозы в том, что оператор не задействует SMS-сообщения, а может «доставать» жертву через iMessage при атаке на iPhone и через протокол рассылки коротких сообщений Rich Communication Services (RCS) при атаке на Android.
Darcula распространяется по модели «фишинг как услуга». Мошенники могут приобрести у разработчиков 200 шаблонов текстовых сообщений. Калон предупредил, что Darcula используется для сложных фишинговых атак, для которых задействуются JavaScript, React, Docker, Harbor. Причём угроза постоянно обновляется, добавляя набору новые функциональные возможности «на ходу».
Через сообщения в iMessage и RCS распространяются URL-адреса фишинговых сайтов. Текстовые сообщения рассылаются в защищённых протоколах и составлены таким образом, что пользуются доверием потребителей. К тому же многие пользователи iPhone привыкли получать синие сообщения только от известных контактов. Поэтому мошенники обходят некоторые фильтры, установленные сетевыми операторами, которые часто препятствуют доставке мошеннических SMS-сообщений потенциальным жертвам.
Есть у Darcula ещё одна особенность, отличающая эту угрозу от уже существующих, в рамках которых рассылаются поддельные текстовые сообщения. Это возможность сделать вредоносный контент доступным по определённому пути (например, example.com/track), а не через главную страницу (example.com), чтобы скрыть местоположение атаки.