“Darcula” 针对全球邮政组织的网络钓鱼平台 媒体

新兴的中文网络钓鱼服务平台 “darcula”

关键要点

一项新的中文网络钓鱼服务平台“darcula”正在对全球超过100个国家的邮政组织进行网络攻击，包括美国邮政服务USPS。根据Netcraft研究人员在3月27日的报告，该平台利用超过20000个钓鱼域名来诱骗受害者，以为他们正在与合法的邮政组织进行互动，实际上则是在盗取他们的凭证和其他敏感信息。

Netcraft的研究人员表示，“darcula”平台在过去一年用于多起高调的钓鱼攻击，包括在英国的苹果和安卓设备上接收到的钓鱼信息，以及冒充美国邮政服务的包裹骗局，此外还在中东地区进行多次攻击。

“我们发现‘darcula’是全球范围内最为普遍的包裹诈骗运营。” Netcraft产品战略副总裁罗伯特邓肯表示，“其他近期观察到的操作规模较小，更加专注于特定地区。例如，Frappo/LabHost主要关注北美及跨国品牌。”

邓肯进一步解释，现代网络钓鱼服务平台的前身是早期的钓鱼工具包，这些工具包已经存在很久。Netcraft在2008年曾报道过一个名为MrBrain的摩洛哥团伙，出售预制的钓鱼套件，目的是部署钓鱼网站并隐藏功能以将盗取的信息回传给原作者。

随着网络犯罪团伙的战术和技术持续演变，邓肯表示，当前“darcula”平台主要或完全使用中文，同时平台上也有其他语言的外部模板供用户使用。虽然不懂中文的用户仍然可以通过浏览器翻译工具进行使用，但Telegram频道中的所有沟通内容仍然是中文。

我们不知道是否有英文版本 邓肯说。“我们不能100确定是否存在其他隐藏选项。”

与更常见的PHP不同，“darcula”平台采用了许多高科技初创企业所使用的相同工具，包括JavaScript、React、Docker和Harbor。攻击者通过iMessage和Rich Communication ServicesRCS许多安卓设备上提供的默认短信应用绕过SMS防火墙，针对USPS以及全球其他成熟组织进行攻击。

Jamf产品组合战略副总裁迈克尔科温顿解释说，Google提供的RCS是比传统SMS更丰富、互动性更强的替代消息协议。除了支持每条传输更多字符外，RCS也提供现代化的增强功能，如已读回执、输入指示器和高分辨率媒体。 从安全角度看，RCS还具备端到端加密，提升了消息传递的安全性和隐私保护。

“这些年来，我们看到攻击者利用现代消息平台如iMessage和WhatsApp发起钓鱼活动，因此看到RCS被加入潜在攻击向量的名单并不感到惊讶，”科温顿表示。“这些加密服务经常被最终用户视为更安全，因此通常存在某种信任，但基本的SMS消息则缺乏这种信任感。尽管如此，我们依然认为，端到端加密的好处及现代消息功能相较于更陈旧的通信协议是值得期待的升级。”

使用JavaScript、React、Docker和Harbor等现代技术的“darcula” PhaaS平台，能够实现持续更新和新功能添加，而无需客户重新安装钓鱼工具包，Zimperium产品战略副总裁克里希纳维什努布霍特拉说道。这对恶意行为者来说是巨大的好处，因为它提高了网络钓鱼活动的灵活性和适应性，使其更