Red de Phishing Darcula aprovechando RCS e iMessage para evadir la detección

XPoint
Publicado el 28/03/2024

Una plataforma sofisticada de phishing como servicio (PhaaS) llamada Darcula ha puesto su mirada en organizaciones en más de 100 países aprovechando una red masiva de más de 20,000 dominios falsificados para ayudar a los ciberdelincuentes a lanzar ataques a gran escala.

«Usar iMessage y RCS en lugar de SMS para enviar mensajes de texto tiene el efecto secundario de eludir los cortafuegos de SMS, lo que se está utilizando con gran efecto para atacar al USPS junto con servicios postales y otras organizaciones establecidas en más de 100 países», dijo Netcraft.

Darcula ha sido empleado en varios ataques de phishing de alto perfil durante el último año, donde los mensajes de smishing son enviados tanto a usuarios de Android como de iOS en el Reino Unido, además de aquellos que aprovechan señuelos de entrega de paquetes al hacerse pasar por servicios legítimos como USPS.

Un PhaaS de habla china, Darcula se anuncia en Telegram y ofrece soporte para alrededor de 200 plantillas que impersonan marcas legítimas que los clientes pueden aprovechar por una tarifa mensual para configurar sitios de phishing y llevar a cabo sus actividades maliciosas.

La mayoría de las plantillas están diseñadas para imitar servicios postales, pero también incluyen servicios públicos y privados, instituciones financieras, organismos gubernamentales (por ejemplo, departamentos de impuestos), aerolíneas y organizaciones de telecomunicaciones.

Los sitios de phishing están alojados en dominios registrados con un propósito que falsifican los nombres de marca respectivos para agregar un barniz de legitimidad. Estos dominios cuentan con el respaldo de Cloudflare, Tencent, Quadranet y Multacom.

En total, se han detectado más de 20,000 dominios relacionados con Darcula en 11,000 direcciones IP, con un promedio de 120 nuevos dominios identificados por día desde el inicio de 2024. Algunos aspectos del servicio PhaaS fueron revelados en julio de 2023 por el investigador de seguridad israelí Oshri Kalfon.

Ciberseguridad Una de las adiciones interesantes a Darcula es su capacidad para actualizar sitios de phishing con nuevas características y medidas antidetección sin tener que eliminar e reinstalar el kit de phishing.

«En la página principal, los sitios de Darcula muestran una página falsa de venta/retención de dominios, probablemente como una forma de camuflaje para interrumpir los esfuerzos de eliminación», dijo la empresa con sede en el Reino Unido. «En iteraciones anteriores, el mecanismo antidetección de Darcula redirigiría a los visitantes que se cree que son bots (en lugar de posibles víctimas) a búsquedas de Google para varias razas de gatos».

Las tácticas de smishing de Darcula también merecen atención especial ya que principalmente aprovechan Apple iMessage y el protocolo RCS (Servicios de Comunicación Enriquecidos) utilizado en Mensajes de Google en lugar de SMS, evadiendo así algunos filtros establecidos por los operadores de red para evitar que los mensajes fraudulentos lleguen a posibles víctimas.

«Aunque el cifrado de extremo a extremo en RCS e iMessage proporciona privacidad valiosa para los usuarios finales, también permite a los criminales eludir los filtros requeridos por esta legislación al hacer que el contenido de los mensajes sea imposible de examinar para los operadores de red, dejando a la detección de spam en el dispositivo de Google y Apple y aplicaciones de terceros como la principal línea de defensa para evitar que estos mensajes lleguen a las víctimas», agregó Netcraft.

«Además, no incurren en cargos por mensaje, que son típicos para los SMS, reduciendo el costo de entrega».

Apartándose del phishing tradicional basado en SMS, otro aspecto notable de los mensajes de smishing de Darcula es su intento astuto de eludir una medida de seguridad en iMessage que impide que los enlaces sean clicables a menos que el mensaje sea de un remitente conocido.

Esto implica instruir a la víctima a responder con un mensaje «Y» o «1» y luego volver a abrir la conversación para seguir el enlace. Un mensaje de este tipo publicado en el subreddit r/phishing muestra que los usuarios son persuadidos para hacer clic en el URL al afirmar que han proporcionado una dirección de entrega incompleta para el paquete de USPS.

Estos iMessages son enviados desde direcciones de correo electrónico como [email protected] y [email protected], lo que indica que los actores de amenazas detrás de la operación están creando cuentas de correo electrónico falsas y registrándolas con Apple para enviar los mensajes.

Google, por su parte, recientemente dijo que está bloqueando la capacidad de enviar mensajes usando RCS en dispositivos Android con root para reducir el spam y el abuso.

El objetivo final de estos ataques es engañar a los destinatarios para que visiten sitios falsos y entreguen su información personal y financiera a los estafadores. Hay evidencia que sugiere que Darcula está dirigido a grupos de cibercriminales de habla china.

Los kits de phishing pueden tener consecuencias graves ya que permiten a criminales menos hábiles automatizar muchos de los pasos necesarios para llevar a cabo un ataque, lo que reduce las barreras de entrada.

El desarrollo se produce en medio de una nueva ola de ataques de phishing que aprovechan la función de restablecimiento de contraseña de Apple, bombardeando a los usuarios con lo que se llama un ataque de bombardeo de mensajes (también conocido como fatiga de MFA) con la esperanza de secuestrar sus cuentas.

Ciberseguridad Suponiendo que un usuario logra rechazar todas las solicitudes, «los estafadores entonces llamarán a la víctima mientras falsifican el soporte de Apple en el identificador de llamadas, diciendo que la cuenta del usuario está bajo ataque y que el soporte de Apple necesita ‘verificar’ un código de un solo uso», dijo el periodista de seguridad Brian Krebs.

Se ha descubierto que los estafadores de voz utilizan información sobre las víctimas obtenida de sitios web de búsqueda de personas para aumentar la probabilidad de éxito, y finalmente «activan un código de restablecimiento de ID de Apple para que se envíe al dispositivo del usuario», lo que, si se.

Preguntas frecuentes

¿Qué es una ejecución remota de código?

+

Un ataque de ejecución remota de código (RCE) es cuando un atacante ejecuta código malicioso en los ordenadores o la red de una organización. La capacidad de ejecutar código controlado por el atacante puede utilizarse para diversos fines, como implementar malware adicional o robar datos confidenciales.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos