Yeni bir kimlik avı saldırısı Android ve iPhone kullanıcılarını hedef alıyor.

Diğer kimlik avı saldırıları gibi, Darcula da kullanıcılardan bilgi toplamak için tanınmış kuruluşları taklit eder. Ancak saldırı yöntemi oldukça karmaşıktır. Önceki saldırı türlerinin çoğu SMS yoluyla yayılırken, Darcula RCS iletişim standardını kullanır.

Bu, hem Google'ı hem de Apple'ı şaşırtan alışılmadık bir saldırı yöntemidir. Bunun nedeni, hem Google Mesajlar hem de iMessage'ın mesajlar için uçtan uca şifreleme kullanmasıdır. Bu güvenlik mekanizması nedeniyle, şirketler tehdidi metin içeriğine göre engelleyemezler.

Darcula, ilk olarak geçen yaz güvenlik uzmanı Oshri Kalfon tarafından keşfedildi. Ancak Netcraft'ın bildirdiğine göre, bu kimlik avı tehdidi son zamanlarda daha yaygın hale geliyor ve dikkat çekici vakalarda kullanıldı.

Darcula'nın kullandığı yöntemler, JavaScript, React, Docker ve Harbor gibi modern teknolojileri kullandıkları için alışılmışın dışında daha karmaşıktır. 100'den fazla ülkede marka veya kuruluşları taklit eden 200'den fazla web sitesi şablonundan oluşan bir kütüphaneye sahipler. Bu taklit web sitesi şablonları yüksek kalitede ve resmi web sitelerine çok benzer.

Darcula'nın çalışma yöntemi, kurbana eksik mesaj içeriğine sahip bir bağlantı göndermek ve alıcıdan daha fazla ayrıntı için sayfalarını ziyaret etmesini istemektir. Bu kimlik avı web sitelerinin yüksek güvenilirliği nedeniyle, deneyimsiz kullanıcılar onlara veri sağlayabilir ve bu veriler daha sonra bilinmeyen amaçlar için kullanılabilir.

Netcraft, 20.000 Darcula alan adının 11.000'den fazla IP adresine aktarıldığını tespit ettiğini iddia ediyor. Raporda ayrıca, günde 120 yeni alan adının eklendiği ve bunun da tespit işlemlerini daha da zorlaştırdığı belirtiliyor.

Yaşanan olaylar göz önüne alındığında, kullanıcıların kısa mesajlar, canlı aramalar ve bilinmeyen göndericilerden gelen bilgiler aracılığıyla kişisel verilerini girerken daha dikkatli olmaları önerilir.