.png)
Phishing: Darcula se dirige a Android y iPhone a través de Google Messages e iMessage
Darcula es el nombre de una nueva plataforma de "phishing como servicio" (PhaaS) que permite suplantar la identidad de diferentes marcas y organizaciones desde 20.000 dominios con el fin de robar las credenciales de los usuarios en dispositivos móviles, tanto Android como iPhone. Echemos un vistazo a esta amenaza.
Si bien la plataforma Tycoon 2FA se dirige a los usuarios de Microsoft 365 y Gmail en las computadoras, Darcula está más interesado en los usuarios de teléfonos inteligentes Android y iPhone. Para ello, se envían mensajes maliciosos a los usuarios directamente en Google Messages (a través del protocolo RCS) e iMessage. Observamos el alejamiento de los SMS tradicionales a RCS e iMessage, lo que permite a los ciberdelincuentes enviar mensajes protegidos por cifrado de extremo a extremo, a diferencia de los SMS. Por lo tanto, no es posible analizar el contenido del mensaje para bloquearlo antes de que llegue al dispositivo del usuario.
Darcula: 200 plantillas listas para usar
El kit Darcula puede ser utilizado por ciberdelincuentes para hacerse pasar por servicios de entrega, así como por empresas financieras, gubernamentales, fiscales, de telecomunicaciones y aerolíneas. En total, los suscriptores tienen acceso a 200 plantillas de mensajes maliciosos y páginas para hacerse pasar por marcas. El contenido también se adapta según el idioma local del usuario objetivo.
​
"La plataforma Darcula afirma admitir alrededor de 200 patrones de phishing, que cubren una amplia gama de marcas con sede en más de 100 países diferentes", se lee en el Un informe publicado en línea por Netcraft.
​
Los ciberdelincuentes solo tienen que elegir una marca y un script de configuración se encarga de la configuración en un contenedor Docker. De hecho, la plataforma Darcula utiliza el registro de contenedores Harbor para alojar la imagen de Docker.
Dárcula, una plataforma en crecimiento
"En total, Netcraft ha detectado más de 20.000 dominios relacionados con el cibercrimen, repartidos en 11.000 direcciones IP, que se dirigen a más de 100 marcas. Muchos dominios ".com" y ".top" son utilizados por los ciberdelincuentes y un tercio de los hosts están protegidos por los servicios de Cloudflare.
​
Además, el documento de Netcraft también especifica que cada día se crean 120 dominios adicionales con el fin de alojar páginas de phishing. Prueba de que esta plataforma PhaaS está creciendo. Cada vez, el objetivo de los hackers es el mismo: robar datos confidenciales y/o bancarios de los usuarios, dependiendo de la plantilla utilizada.
​
Aunque todos estemos más o menos acostumbrados a recibir estos mensajes sospechosos, permanezcamos atentos...