I ricercatori di Netcraft, una società di monitoraggio delle reti, hanno individuato un nuovo servizio di phishing chiamato Darcula, che sfrutta oltre 20.000 domini di phishing associati a marchi noti. Questa piattaforma, denominata PhaaS (Phishing-as-a-Service), si differenzia dalle soluzioni tradizionali perché sfrutta i messaggi RCS e iMessage per mirare agli utenti Android e iOS.
Darcula si distingue per l’utilizzo di tecnologie moderne come JavaScript, React, Docker e Harbor, anziché il tradizionale PHP. Inoltre, si avvale del protocollo RCS (Rich Communication Services) e di iMessage, anziché degli SMS, per eludere i filtri e i firewall degli operatori telefonici.
Il kit di phishing offre oltre 200 modelli predefiniti per impersonare siti web di marchi noti e organizzazioni in più di 100 paesi. Le pagine web create sono di alta qualità e multilingue, questo rende più facile ingannare gli utenti destinatari dei messaggi. Le principali vittime sono le aziende che forniscono servizi postali, ma anche dipartimenti governativi e finanziari, telecomunicazioni, compagnie aeree e servizi pubblici.
Gli esperti di Netcraft hanno individuato oltre 20.000 domini associati a Darcula, distribuiti su 11.000 indirizzi IP. Quando un utente clicca o tocca il link presente nel messaggio, viene reindirizzato al sito di phishing e le sue credenziali di accesso finiscono nelle mani dei cybercriminali. Poiché sia RCS che iMessage supportano la crittografia end-to-end, i messaggi inviati non possono essere bloccati dagli operatori telefonici.
Il filtraggio dei messaggi avviene tramite Google e Apple: Google impedisce l’invio e la ricezione di messaggi RCS sui dispositivi con root, mentre Apple visualizza l’URL cliccabile solo se il destinatario risponde al messaggio. Darcula è in grado di inviare messaggi che richiedono una risposta affermativa dall’utente per attivare il link incluso nel messaggio.
Per precauzione, gli utenti sono invitati ad adottare un atteggiamento cauto nei confronti di tutti i messaggi che ricevono, specialmente se contengono URL e provengono da mittenti non riconosciuti. È consigliabile prestare particolare attenzione ad eventuali errori grammaticali nel testo, offerte troppo allettanti o richieste di azioni immediate.
M.T.
