Фишинговая платформа Darcula ответственна за хищение 884 000 банковских карт, и жертвы хакеров по всему миру 13 млн раз перешли по вредоносным ссылкам, полученным через текстовые сообщения.
Такую статистику приводят аналитики NRK, Bayerischer Rundfunk, Le Monde и Mnemonic, в совместном отчете. Исследователям удалось выявить более 600 операторов Darcula, а также создателя и основного распространителя услуг платформы.
Darcula представляет собой PhaaS-платформу (phishing-as-a-service, «фишинг-как-услуга»), которая нацелена на пользователей Android и iPhone более чем в 100 странах мира. Криминальный сервис использует 20 000 доменов, имитирующих известные бренды, с целью кражи учетных данных.
Фишинговые сообщения, которые рассылают операторы платформы, как правило, представляют собой поддельные штрафы или уведомления о доставке посылок, содержащие ссылки на фишинговые сайты.
Одними из первых на активность Darcula
обратили внимание исследователи из компании Netcraft в марте 2024 года. Они отмечали, что платформа отличается от аналогичных хакерских сервисов тем, что использует RCS и iMessage вместо SMS-сообщений, что делает атаки более эффективными.
В феврале 2025 года те же исследователи
сообщили, что Darcula претерпела значительные изменения и теперь позволяет своим операторам автоматически генерировать фишинговые наборы для атак на любой бренд. А в апреле текущего года
стало известно, что фишинговый сервис начал использовать ИИ, и с помощью LLM-инструментов хакеры могут создавать собственные кампании на любом языке и на любую тему.
Проведенное теперь
расследование компании Mnemonic включало в себя реверс-инжиниринг фишинговой инфраструктуры Darcula и привело к обнаружению мощного инструментария под названием Magic Cat, который лежит в основе фишинговой платформы.
Также исследователи проникли в Telegram-группу, связанную с Darcula, и обнаружили там фотографии SIM-ферм, модемов и свидетельства роскошного образа жизни, который ведут операторы сервиса.
Code:
https://xakep.ru/wp-content/uploads/2025/05/511642/Phone-racks.mp4
Благодаря OSINT и пассивному анализу DNS, аналитики проследили цифровой след платформы и обнаружили некоего гражданина Китая и его аккаунт разработчика на GitHub. Считается, что именно этот человек может стоять за созданием Darcula.
В свою очередь NRK
сообщает, что этот человек — 24-летний житель китайского города Хэнань, и он связан с компанией, которая разрабатывает упомянутый выше Magic Cat. При этом представители компании сообщили, что этот человек уже у них не работает, а также заявили о своей непричастности к какому-либо мошенничеству, утверждая, что продают исключительно «программное обеспечение для создания сайтов».
NRK отмечает, что в итоге в компании признали, что Magic Cat используется для фишинга, и даже заявили, что отключат его, однако вскоре была выпущена новая версия инструмента.
В отдельном
материале исследователи рассказывают о 600 мошенниках, использующих Darcula для хищения данных банковских карт. По данным экспертов, операторам платформы уже удалось похитить информацию о 884 000 карт по всему миру.
Операторы Darcula используют закрытые группы в Telegram, за которыми специалисты NRK наблюдали больше года. В большинстве таких чатов общаются на китайском языке и используют SIM-фермы и различные аппаратные решения для массовой рассылки текстовых сообщений и последующей обработки украденных карт.
В отчете NRK отдельно рассказывается об операторах Darcula, генерирующих большие объемы вредоносного трафика. К примеру, высокое положение в иерархии, связанной с сервисом, занимает пользователь из Таиланда под ником x66/Kris.
Исследователи подчеркивают, что уже передали всю собранную информацию правоохранительным органам.
@ xakep.ru
05-26-2025, 12:07 PM
Threaded Mode