Netcraftは3月27日(英国時間)、「Out of the shadows - ’darcula’ iMessage and RCS smishing attacks target USPS and global postal services|Netcraft」において、2万を超えるフィッシングドメインを使用する新しいフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)の「darcula」について詳細を伝えた。

  • Out of the shadows - ’darcula’ iMessage and RCS smishing attacks target USPS and global postal services|Netcraft

    Out of the shadows - ’darcula’ iMessage and RCS smishing attacks target USPS and global postal services|Netcraft

フィッシング・アズ・ア・サービス「darcula」とは

Netcraftによると、darculaは同名のTelegramユーザーによって開発された中国語のプラットフォームとされ、世界中のブランドを標的とする数百のテンプレートを月額サブスクリプションとして提供する。このサービスは他のフィッシングキットと異なり、アップデート時に再インストールを必要としない特徴があるという。

  • 大手郵便サービスを模倣したフィッシングサイトの例 - 引用:Netcraft

    大手郵便サービスを模倣したフィッシングサイトの例 引用:Netcraft

darculaは侵害したドメインではなく新しく登録したドメインを使用する傾向にあり、「.top」と「.com」を中心に維持コストの安いトップレベルドメインを使用する。また、攻撃者の管理するサーバのIPアドレスを隠蔽するために、Cloudflareプラットフォームを悪用する。

Netcraftはこれまでに1万1,000のIPアドレスから2万を超えるdarcula関連のドメインを検出しており、これらが100以上のブランドを標的にしていることを確認している。また、2024年に入ってからは1日当たり120件のペースで新しいdarcula関連のドメインを検出していると報告しており、増加の一途をたどっているとみられる。

「darcula」の誘導手段

darculaは被害者をフィッシングサイトに誘導する手段として、ショートメッセージサービス(SMS: Short Message Service)を使用しない。代わりに、通信内容を秘匿できるGoogleのリッチコミュニケーションサービス(RCS: Rich Communication Services)およびAppleのiMessageを悪用する。これにより、URLを含む悪意のある通信を暗号化し、セキュリティソリューションなどによる検出を回避する。

対策

Netcraftはdarculaのようなフィッシング攻撃を回避するために、未知の送信者からのメッセージに注意するよう呼びかけている。特に文法の誤り、スペルミス、うまい話、緊急性を訴える内容のメッセージはフィッシング攻撃の可能性が高いとしている。

また、AndroidおよびiPhoneユーザーは攻撃を受ける可能性が高いと考えられるため、セキュリティソリューションを導入してフィッシングサイトへのアクセスを阻止できるように対策することが望まれている。