Lo permitirá una nueva versión de la plataforma Darcula de phishing como servicio (PhaaS)
Los actores de amenazas detrás de la plataforma Darcula de phishing como servicio (PhaaS) parecen estar preparando una nueva versión que permite a los posibles clientes y a los delincuentes cibernéticos clonar el sitio web legítimo de cualquier marca y crear una versión de phishing, reduciendo aún más la experiencia técnica necesaria para llevar a cabo ataques de phishing a escala.
La última versión de la suite de phishing "representa un cambio significativo en las capacidades delictivas, reduciendo la barrera de entrada para que los actores maliciosos ataquen cualquier marca con campañas de phishing complejas y personalizables", dijo Netcraft en un nuevo análisis.
La empresa de ciberseguridad afirmó que ha detectado y bloqueado más de 95.000 nuevos dominios de phishing de Darcula, casi 31.000 direcciones IP y ha eliminado más de 20.000 sitios web fraudulentos desde que se expuso por primera vez a fines de marzo de 2024.
El mayor cambio incorporado en Darcula es la capacidad de cualquier usuario de generar un kit de phishing para cualquier marca de forma bajo demanda.
"La nueva y remasterizada versión ya está lista para pruebas", dijeron los desarrolladores principales detrás del servicio en una publicación realizada el 19 de enero de 2025, en un canal de Telegram que tiene más de 1.200 suscriptores.
Imagen: Anuncio de Darcula V3 en Telegram, traducido del chino al inglés
"Ahora también puedes personalizar el front-end tú mismo. Con darcula-suite, puedes completar la producción de un front-end en 10 minutos".
Para ello, todo lo que tiene que hacer el cliente es proporcionar la URL de la marca que desea suplantar en una interfaz web, y la plataforma utiliza una herramienta de automatización del navegador como Puppeteer para exportar el HTML y todos los recursos necesarios.
Los usuarios pueden seleccionar el elemento HTML que reemplazarán e inyectarán el contenido de phishing (por ejemplo, formularios de pago y campos de inicio de sesión) de modo que coincida con el aspecto de la página de destino de la marca. La página de phishing generada se carga luego en un panel de administración.
"Como cualquier producto de software como servicio, la plataforma PhaaS de Darcula-suite proporciona paneles de administración que facilitan a los estafadores la gestión de sus distintas campañas", dijo el investigador de seguridad Harry Freeborough.
“Una vez generados, estos kits se cargan en otra plataforma donde los delincuentes pueden administrar sus campañas activas, encontrar datos extraídos y monitorear sus campañas de phishing implementadas”.
Además de presentar paneles que resaltan las estadísticas de rendimiento agregadas de las campañas de phishing, Darcula v3 va un paso más allá al ofrecer una forma de convertir los detalles de la tarjeta de crédito robada en una imagen virtual de la tarjeta de la víctima que se puede escanear y agregar a una billetera digital para fines ilícitos. En concreto, las tarjetas se cargan en teléfonos desechables y se venden a otros delincuentes.
Se dice que la herramienta se encuentra actualmente en la etapa de prueba interna. En una publicación posterior del 10 de febrero de 2025, el autor del malware publicó el mensaje: "He estado ocupado estos días, por lo que la actualización v3 se pospondrá unos días".
