Darcula lần đầu được phát hiện vào giữa năm ngoái, tuy nhiên các nhà nghiên cứu phân tích rằng nền tảng này dần trở nên phổ biến hơn trong không gian mạng khi gây ra một số vụ tấn công lớn.
Không giống như các phương thức lừa đảo truyền thống, Darcula sử dụng các công nghệ hiện đại như JavaScript, React, Docker và Harbor, cho phép cập nhật liên tục và bổ sung tính năng mới mà không cần khách hàng phải cài đặt lại.
Dịch vụ lừa đảo này cung cấp 200 mẫu lừa đảo mạo danh các thương hiệu và tổ chức ở hơn 100 quốc gia. Kẻ tấn công chọn một thương hiệu để mạo danh, sau đó cấu hình cài đặt trang web lừa đảo tương ứng và quản lý trực tiếp giao diện thông qua Docker. Hệ thống sử dụng mã nguồn mở Harbor để lưu trữ hình ảnh trên Docker và các trang web lừa đảo được phát triển bằng React.
Các nhà nghiên cứu cho biết dịch vụ Darcula thường sử dụng các tên miền uy tín như ".top" và ".com" để đăng ký phục vụ cho các cuộc tấn công lừa đảo, khoảng 1/3 trong số đó được hỗ trợ bởi Cloudflare.
Tin nhắn RCS được gửi từ Darcula
Darcula khác với các chiến thuật dựa trên SMS truyền thống, thay vào đó sử dụng RCS (Android) và iMessage (iOS) để gửi tin nhắn cho nạn nhân có chứa liên kết đến URL lừa đảo khiến người nhận tin tưởng và coi là hợp pháp trên hệ điều hành. Hơn nữa, vì RCS và iMessage hỗ trợ mã hóa đầu cuối nên không thể ngăn chặn các tin nhắn lừa đảo của chúng.
Tin nhắn lừa đảo được gửi qua iMessage
Những nỗ lực pháp lý toàn cầu gần đây nhằm hạn chế tội phạm mạng dựa trên SMS bằng cách chặn các tin nhắn đáng ngờ có khả năng gây ra dịch vụ lừa đảo, hướng tới sử dụng các giao thức thay thế RCS và iMessage. Tuy nhiên, các giao thức này vẫn còn những hạn chế mà tin tặc có thể lợi dụng.
Hiện các hãng công nghệ lớn như Apple cấm các tài khoản gửi số lượng lớn tin nhắn đến nhiều người nhận. Còn Google thì hạn chế các thiết bị Android đã root gửi hoặc nhận tin nhắn RCS. Tuy nhiên, tội phạm mạng cố gắng vượt qua những giải pháp này bằng cách tạo nhiều ID Apple và sử dụng cụm thiết bị để gửi một số lượng nhỏ tin nhắn từ mỗi thiết bị.
Biện pháp bảo vệ trong iMessage là chỉ cho phép người nhận nhấp vào liên kết URL nếu họ đã trả lời tin nhắn. Để thực hiện hình thức này, khi muốn nhấp vào liên kết URL người nhận sẽ được hướng dẫn trả lời bằng "Y" hoặc "1", sau đó mới mở lại tin nhắn có liên kết. Quá trình này có thể giảm thiểu hiệu quả của cuộc tấn công lừa đảo.
Các nhà nghiên cứu khuyến cáo người dùng nên cảnh giác một vài dấu hiệu lừa đảo như ngữ pháp không đúng, lỗi chính tả, những lời đề nghị hấp dẫn hoặc những lời kêu gọi hành động khẩn trong tin nhắn được nhận.
P.T
10:00 | 25/10/2021
15:00 | 16/04/2024
13:00 | 20/05/2021
13:00 | 12/08/2020
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024