Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Darcula PhaaS v3, nền tảng phishing mới của các tội phạm mạng

Published
5 min read
Darcula PhaaS v3, nền tảng phishing mới của các tội phạm mạng
V
Vũ Nhật Lâm
Part of seriesNewsletters

Tổng quan về nền tảng

Darcula-suite là một bước nhảy vọt lớn trong giới tội phạm mạng, xóa bỏ các rào cản cho phép kẻ tấn công thực hiện nhắm vào bất kỳ thương hiệu nào với các chiến dịch phishing phức tạp. Đây là một nền tảng PhaaS (Phishing-as-a-Service) tiếng Trung được phát triển bởi một người dùng trên Telegram cùng tên, rất dễ sử dụng, kể cả một tội phạm mạng không có kiến thức kỹ thuật cũng có thể dễ dàng và nhanh chóng sao chép được website của một thương hiệu nào đó và thực hiện tấn công phishing. Kể từ tháng 3/2024, Netcraft, một công ty an ninh mạng chuyên phát hiện phishing đã phát hiện và ngăn chặn hơn 90.000 domain, gần 31.000 địa chỉ IP và hơn 20.000 website lừa đảo bị đánh sập liên quan đến Darcula.

Các chức năng của Darcula-suite

Vào giữa tháng 2 này, một phiên bản mới nhất được cho là sẽ ra mắt khiến cho việc thực hiện phishing trở nên nguy hiểm hơn. Trong phiên bản này, Darcula sẽ sử dụng Puppeteer, cho phép xây dựng các bộ công cụ phishing tiên tiến nhắm tới bất kỳ thương hiệu nào chỉ với một nút bấm.

Thông báo về phiên bản Dracula V3 trên Telegram, được dịch từ tiếng Trung sang tiếng Anh

Nền tảng sẽ hoạt động như sau:

  • Đầu tiên là copy và thêm địa chỉ URL của website muốn thực hiện giả mạo vào Darcula.

  • Nền tảng sẽ sử dụng các tool tự động như Puppeteer để xuất HTML và các nội dung cần thiết khác.

  • Lựa chọn các phần HTML để thay thế và chèn vào nội dung phishing.

  • Lựa chọn một biểu mẫu trong các mẫu lừa đảo có sẵn, ví dụ như là: Yêu cầu thông tin thanh toán, yêu cầu thông tin nhạy cảm (username, password…), …

  • Chinh sửa cho phù hợp và tạo cảm giác giống với giao diện của website thương hiệu đích.

  • Kích hoạt tạo các trang riêng biệt cho trang mồi nhử ban đầu, nhập địa chỉ, thông tin thẻ và xác thực đã yếu tố.

  • Xuất công cụ phishing một gói tên là “.cat-page“.

  • Upload gói trên vào trang admin của Darcula.

Có thể thấy việc sử dụng Darcula-suite rất dễ dàng để thực hiện một chiến dịch phishing. Nền tảng này cũng cung cấp các dashboard giúp cho các kẻ lừa đảo quản lý các chiến dịch.

Phiên bản trước của Darcula và các kênh Telegram của nó giống với các tổ chức tội phạm sử dụng đặt tên và hình ảnh mèo. Xu hướng này vẫn được tiếp diễn với việc tạo ra công cụ phishing với các đích là “.cat-page“. Gói “.cat-page“ được upload lên nền tảng nơi các kẻ tấn công quản lý và giám sát các chiến dịch đang hoạt động, tìm và quản lý các dữ liệu đã được trích xuất như thẻ tín dụng, thông tin đăng nhập...

Để có thể cài đặt trang admin quản lý, kẻ lừa đảo chạy một script mà sẽ chạy các Docker image từ Docker registy của Darcula.

Một khi thông tin các thẻ được đẩy về từ chiến dịch phishing, Darcula-suite sẽ cung cấp cho người dùng khả năng tạo hình ảnh của thẻ nạn nhân mà có thể được sử dụng để quét và thêm vào một ví điện tử. Những thẻ này thường được thêm vào các điện thoại thông minh và được bán bởi các tội phạm Darcula. Thông tin này đã được xác thực bởi các kẻ lừa đảo công khai các điện thoại đã được thêm vào lên tới 20 thẻ đã bị đánh cắp trên từng máy trong các kênh chat liên quan tới Darcula.

Trong phiên bản trước đó của Darcula là Darcula v2 đã có nhiều tính năng làm giúp cho các tên tội phạm ít kỹ thuật có thể tiếp cận. Ngoài ra chúng các biện pháp phức tạp nhằm tránh bị phát hiện như:

  • Mỗi thiết lập của Darcula có thể được giấu đằng sau một subdirectory duy nhất.

  • Chặn IP để hạn chế truy cập từ các công ty an ninh mạng.

  • Chặn User-agent để ngăn chặn hành vi cào dữ liệu tự động, ví dụ như là Google crawler.

  • Trang web phía Client được tạo bằng React, tức là cần phải tải JavaScript, yêu cầu phải giám sát với một headless browser.

  • Các tội phạm mạng được Darcula khuyến khích giấu server thực thông qua các nhà cung cấp CDN như là Cloudflare.

Với phiên bản Darcula v2 có thể thấy rằng đã rất kinh khủng với các thương hiệu đã được xây dựng sẵn, bao gồm hơn 200 mẫu thương hiệu từ hơn 100 quốc gia. Với phiên bản thứ 3 ra mắt vào giữa tháng 2 này được gọi là Darcula-suite và với cách tiếp cận mới khiến cho việc tấn công phishing nhắm vào bất kỳ thương hiệu nào trên thế giới.

Phòng tránh phishing

Với việc các tội phạm đang thử nghiệm nền tảng này đang gia tăng trong khoảng đầu tháng 2 này và ngày càng có nhiều công cụ, nền tảng khác nhau giúp cho việc thực hiện lừa đảo, phishing gia tăng, người dùng cần phải có kiến thức để phòng ngừa. Phía FPT Threat intelligence đưa ra các khuyến nghị sau:

  • Cảnh giác với các tin nhắn và email được gửi từ người gửi không uy tín, không thể nhận dạng được.

  • Kiểm tra kỹ đường link liên kết, trang web do các đường link này thường có lỗi sai chính tả, cú pháp khiến cho chúng gần giống với URL của các website hợp lệ.

  • Người dùng cần phải bình tĩnh, cẩn trọng trước các tin nhắn, email với nội dụng mang tính khẩn cấp, cần thiết phải hành động.

  • Sử dụng các ứng dụng phát hiện, ngăn chặn phishing như Netcraft.

Tham khảo

#phishing#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

808 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.