La piattaforma as-a-service Darcula e le nuove frontiere del phishing globale

Nell’ultimo Internet Crime Report dell’FBI, il phishing guida la top five dei crimini cibernetici segnalati dal 2019 ad oggi. Gli avversari che sfruttano questa tecnica di attacco continuano a progettare strumenti e strategie sempre più sofisticati e lo fanno anche in una prospettiva di espansione delle proprie capacità offensive.

Darcula sfrutta iMessage di iOS e il protocollo di telefonia mobile RCS

Un caso interessante di strumento di attacco dotato di risorse in potenziale incremento è costituito dalla piattaforma di Phishing-as-a-Service Darcula.

Darcula è uno strumento duttile e relativamente facile da utilizzare che può generare pagine fraudolente ad imitazione quasi fedele di quelle di servizi postali, istituti finanziari, dipartimenti fiscali, compagnie aeree e Telco, in tutto il mondo. Nello specifico, dispone di 200 modelli di phishing che impersonano marchi e organizzazioni in oltre 100 Paesi ed è in grado di generare pagine di alta qualità utilizzando lingua, loghi e contenuti locali coerenti.

L’elemento che la contraddistingue è l’impiego come vettore di infezione primaria di una tecnologia di comunicazione destinata a divenire un nuovo standard globale. Oltre ad iMessage (iOS), infatti, Darcula utilizza RCS (Rich Communication Services), un protocollo di telefonia mobile che permette di scambiare quelli che si potrebbero definire SMS con una marcia in più, cioè messaggi contenenti foto, video, audio e molti altri contenuti multimediali. Disponibile al momento per i dispositivi Android – e supportato da compagnie come AT&T, Orange, Telecom Italia, Verizon e Vodafone – Apple conta di adottare RCS con il rilascio di iOS 18, previsto per il prossimo autunno.

Darcula, attiva dal 2023 e progettata in cinese, è già stata impiegata in attacchi di alto profilo, in particolare nel Regno Unito, e per effettuare frodi che impersonano lo United States Postal Service.

Una campagna globale basata su siti Digital Document Publishing

Fra le campagne globali tracciate di recente, ne spicca una basata su siti DDP (Digital Document Publishing) come Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo e SimpleBooklet, che ha avuto l’obiettivo di raccogliere credenziali e sottrarre token di sessione.

I siti DDP permettono di condividere file PDF nel formato flipbook, che si può sfogliare direttamente nel browser, senza scaricarlo nel proprio dispositivo. Il fatto di non dover autorizzare alcun download induce gli utenti a percepire questi documenti come non pericolosi ed è quindi difficile che vengano inseriti nelle blocklist dei filtri web. Negli incidenti analizzati, la vittima riceve un’e-mail contenente un link a un documento ospitato su un sito DDP legittimo. In genere, in quei messaggi gli avversari inseriscono nell’oggetto e/o nel corpo del messaggio la frase “New Document from [organizzazione mittente]”, lasciano vuoto il campo “A:” e caricano la lista dei target nel campo “CCn:”, in modo che questa resti invisibile.

Il messaggio contiene il link a un documento ospitato su un sito DDP legittimo. Il documento, a sua volta, riporta un link a un sito esterno controllato dall’avversario, il quale può sfruttare una serie di reindirizzamenti e richiedere anche la risoluzione di CAPTCHA Cloudflare. Infine, il sito di destinazione simula una pagina di autenticazione, finalizzata a catturare le credenziali dell’utente o i token di sessione.

Queste offensive avvengono spesso previo accesso non autorizzato a un’altra casella di posta elettronica legittima. In una sorta di “BEC a cascata”, l’attaccante crea un’infrastruttura e delle esche di phishing per colpire una vittima specifica, quindi sfrutta le connessioni consolidate di quest’ultima per condurre attacchi successivi contro altre organizzazioni.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.