La plataforma de phishing como servicio (PhaaS) Darcula está a punto de lanzar
su tercera versión principal.
Una característica clave de esta versión es la creación automática de kits
de phishing personalizados dirigidos a cualquier marca.
Esto reduce las barreras de entrada para los ciberdelincuentes novatos.
La próxima versión, llamada «Darcula Suite», se encuentra actualmente
en fase beta. Elimina las restricciones previas sobre la segmentación. En
lugar de una selección limitada de kits, los usuarios pueden crear los suyos
propios.
Esta nueva versión también simplifica el proceso: requiere menos conocimientos
técnicos e incluye un panel de administración intuitivo. También ofrece
filtrado de IP y bots, seguimiento del rendimiento de campañas y herramientas
automatizadas para el robo de tarjetas de crédito.
Los
investigadores de Netcraft probaron la versión beta
y confirmaron estas funciones. También observaron un mayor interés por parte
de los ciberdelincuentes, incluso antes del lanzamiento oficial.
«Dado que las imágenes de contenedor utilizadas para ejecutar el panel de
administración están disponibles públicamente, Netcraft pudo obtener una
estimación aproximada del número de usuarios que ya están explorando este
conjunto de pruebas», afirma su informe.
Generador de kits de phishing casero
La principal característica de Darcula Suite es su generador de kits de
phishing casero. Los usuarios proporcionan la URL de una marca y la plataforma
genera automáticamente todas las plantillas necesarias para el ataque.
Utiliza
Puppeteer para
clonar el sitio legítimo, copiando HTML, CSS, imágenes y JavaScript para
mantener el diseño original.
Los atacantes pueden modificar elementos como campos de inicio de sesión,
formularios de pago y solicitudes de autenticación de dos factores. Pueden
reemplazarlos con páginas de phishing, usar mensajes de error personalizados o
modificar JavaScript para robar datos.
También hay plantillas prediseñadas disponibles, incluyendo páginas falsas
para restablecer contraseñas, formularios de pago con tarjeta de crédito y
solicitudes para introducir códigos de autenticación de dos factores (2FA).
El sitio de phishing finalizado se empaqueta en un paquete
«.cat-page» y se sube al panel de administración de Darcula para su
implementación, gestión, prevención del robo de datos y monitorización.
Además del generador automático, Darcula 3.0 incluye:
-
Funciones antidetección: rutas de implementación aleatorias, filtrado de IP,
bloqueo de rastreadores y restricciones por tipo de dispositivo. -
Panel de administración mejorado: gestión simplificada de campañas de
phishing, panel de rendimiento, registros de credenciales robadas en tiempo
real y notificaciones de Telegram. -
Herramienta de conversión de tarjetas de crédito: convierte los datos de
tarjetas de crédito robadas en imágenes virtuales para su uso en
aplicaciones de pago digital.
Netcraft informa que grupos de Telegram vinculados a Darcula ya venden
teléfonos desechables precargados con tarjetas robadas.
La facilidad de uso de Darcula 3.0 probablemente provocará un aumento
significativo de los ataques de phishing. Netcraft señala que, en los últimos
10 meses, detectó y bloqueó casi 100.000 dominios Darcula 2.0, 20.000 sitios
de phishing y 31.000 direcciones IP asociadas.
Las nuevas funciones dificultan aún más la detección y la detención de estos
ataques. El auge de servicios PhaaS como Darcula pone de manifiesto la
creciente sofisticación y accesibilidad de las herramientas contra el
cibercrimen.
Fuente:
DailySecurity