• 發布單位:TWCERT/CC
• 更新日期:2024-04-01
• 點閱次數:2912

一種名為「Darcula」的新型網路釣魚即服務（PhaaS）平台利用超過 20,000 個網域偽冒知名品牌並竊取其憑證，以進行廣泛的釣魚攻擊，目標遍及全球 100 多個國家和地區的 Android 及 iPhone 用戶。這個服務提供200 多個範本，涵蓋了金融、政府、電信及航空等多個行業，攻擊者能夠選擇合適的偽裝進行攻擊。特別的是，Darcula採用了Google Messages的RCS(Rich Communication Services)和Apple的 iMessage協定，而不是以傳統的SMS方式發送釣魚訊息。這種方法增加了受害者對訊息合法性的信任，並利用了 RCS 和 iMessage 提供的額外保護措施，然而這些協定支援點對點加密，造成釣魚訊息難以被內容過濾系統攔截。

Darcula與傳統的網路釣魚方式的不同之處，在於它採用了JavaScript、React、Docker和Harbor等技術，能夠持續更新並增加新功能，而無需使用者重新安裝工具包。這網路釣魚工具包提供了200個網路釣魚樣板，偽冒100多個國家的品牌和組織，釣魚網站的品質也很高，且使用正確的當地語言、標章，還精心設計了內容，以提高詐騙的成功率。

Netcraft已在11,000個IP地址上對應了20,000個Darcula域名，並且每天都會新增120個新的域名。此 外，研究人員指出，Darcula 服務通常使用「.top」和「.com」頂級域名，其中約三分之一置於Cloudflare平台。建議使用者對所有要求點擊的 URL 訊息保持謹慎，特別針對無法識別寄件者、語法錯誤、拼字錯誤或過於誘人的優惠都可能是釣魚訊息。