Cibercriminosos replicam sites de marcas em minutos usando o Darcula PhaaS v3

Os cibercriminosos por trás da plataforma de phishing como serviço (PhaaS) Darcula estão desenvolvendo uma nova versão que permite a clientes e criminosos cibernéticos replicar o site legítimo de qualquer marca e criar uma versão de phishing, reduzindo ainda mais a necessidade de conhecimento técnico para realizar ataques de phishing em larga escala.

A versão mais recente do pacote de phishing “representa uma mudança significativa nas capacidades criminosas, diminuindo a barreira de entrada para que criminosos ataquem qualquer marca com campanhas de phishing complexas e personalizáveis”, afirmou a Netcraft em uma nova análise.

A empresa de segurança cibernética relatou que detectou e bloqueou mais de 95.000 novos domínios de phishing Darcula, quase 31.000 endereços IP e derrubou mais de 20.000 sites fraudulentos desde que foram descobertos pela primeira vez no final de março de 2024.

A principal alteração incorporada ao Darcula é a capacidade de qualquer usuário gerar um kit de phishing para qualquer marca sob demanda.

Leia também

“A nova versão remasterizada agora está pronta para testes”, declararam os principais desenvolvedores por trás do serviço em uma publicação feita em 19 de janeiro de 2025, em um canal do Telegram que possui mais de 1.200 inscritos.

“Agora, você também pode personalizar o front-end. Usando o darcula-suite, é possível concluir a produção de um front-end em 10 minutos.”

Para isso, o cliente precisa apenas fornecer a URL da marca a ser personificada em uma interface web, com a plataforma utilizando uma ferramenta de automação de navegador como o Puppeteer para exportar o HTML e todos os recursos necessários.

Os usuários podem então selecionar o elemento HTML a ser substituído e inserir o conteúdo de phishing (por exemplo, formulários de pagamento e campos de login) de modo que corresponda à aparência da página inicial da marca. A página de phishing gerada é então carregada em um painel de administração.

“Como qualquer produto de Software como Serviço, a plataforma PhaaS darcula-suite fornece painéis de administração que facilitam o gerenciamento de diversas campanhas por fraudadores”, disse o pesquisador de segurança Harry Freeborough.

“Uma vez gerados, esses kits são enviados para outra plataforma onde os criminosos podem gerenciar suas campanhas ativas, encontrar dados extraídos e monitorar suas campanhas de phishing implantadas.”

Além de apresentar painéis que destacam as estatísticas de desempenho agregadas das campanhas de phishing, o Darcula v3 vai além ao oferecer uma maneira de converter os detalhes do cartão de crédito roubado em uma imagem virtual do cartão da vítima que pode ser escaneada e adicionada a uma carteira digital para fins ilícitos. Especificamente, os cartões são carregados em telefones descartáveis e vendidos a outros criminosos.

Acredita-se que a ferramenta esteja atualmente em fase de testes internos. Em uma postagem de acompanhamento datada de 10 de fevereiro de 2025, o autor do malware escreveu: “Tenho estado ocupado esses dias, então a atualização v3 será adiada por alguns dias.”