El phishing es una técnica ampliamente utilizada por ciberdelincuentes para engañar a los usuarios y robar su información personal. En el caso de Darcula, los atacantes envían mensajes falsos a través de iMessage que parecen ser legítimos y persuasivos, lo que lleva a los usuarios a proporcionar información confidencial sin darse cuenta. Es fundamental que los usuarios sean conscientes de este tipo de amenazas y eviten hacer clic en enlaces o proporcionar información sensible a través de mensajes sospechosos. Además, se recomienda mantener siempre actualizado el sistema operativo y utilizar medidas de seguridad adicionales, como autenticación de dos factores, para protegerse contra ataques de phishing.
Un nuevo servicio de phishing como servicio (PhaaS) conocido como ‘Darcula’ ha capturado la atención de expertos y analistas. Utilizando una red de más de 20,000 dominios para suplantar identidades de marcas conocidas, este servicio busca robar credenciales de usuarios de Android y iPhone en más de 100 países.
Darcula se ha utilizado contra una variedad de servicios y organizaciones, incluyendo departamentos postales, financieros, gubernamentales, de impuestos, telecomunicaciones, aerolíneas y servicios públicos. Ofrece a los estafadores más de 200 plantillas para elegir, adaptándose así a múltiples idiomas, logotipos y contenidos locales con el fin de aumentar su efectividad.
Un aspecto distintivo de Darcula es su uso de los protocolos de Servicios de Comunicación Enriquecida (RCS) para Google Messages y iMessage, en lugar del tradicional SMS, para enviar mensajes de phishing. Esta estrategia no solo moderniza el enfoque de phishing sino que también explota la percepción de seguridad y legitimidad asociada a estos servicios de mensajería.
Documentado inicialmente el verano pasado por el investigador de seguridad Oshri Kalfon, el servicio Darcula ha ganado popularidad en el espacio cibernético, siendo empleado en varios casos de alto perfil. Analistas de Netcraft han informado sobre su uso en ataques de phishing de gran envergadura, incluyendo estafas que involucran a servicios postales y mensajes recibidos tanto en dispositivos Apple como Android en el Reino Unido.
A diferencia de los métodos de phishing tradicionales, Darcula emplea tecnologías modernas como JavaScript, React, Docker y Harbor, lo que permite actualizaciones continuas y la adición de nuevas características sin que los clientes necesiten reinstalar los kits de phishing. Este enfoque tecnológicamente avanzado facilita la creación y gestión de sitios de phishing con alta eficacia y personalización.
La infraestructura de Darcula se apoya en el uso de dominios registrados específicamente para los ataques de phishing, con una preferencia por los dominios de nivel superior “.top” y “.com”. Netcraft ha mapeado 20,000 dominios de Darcula a través de 11,000 direcciones IP, con un promedio de 120 nuevos dominios agregados diariamente.
El desplazamiento del phishing desde SMS hacia protocolos como RCS e iMessage responde a esfuerzos legislativos globales destinados a combatir el cibercrimen basado en SMS. Sin embargo, estos protocolos presentan sus propios desafíos para los ciberdelincuentes, quienes deben sortear restricciones como las cuentas de Apple que envían altos volúmenes de mensajes o las restricciones de Google contra dispositivos Android rooteados.
Ante estas medidas, los ciberdelincuentes han ideado estrategias para superar las limitaciones, como la creación de múltiples ID de Apple y el uso de granjas de dispositivos para enviar mensajes. No obstante, los usuarios deben permanecer vigilantes, tratando con sospecha todos los mensajes entrantes que insten a hacer clic en enlaces, independientemente de la plataforma o aplicación.
