Η υπηρεσία phishing-as-a-service (PhaaS) Darcula κατάφερε να αποσπάσει 884.000 αριθμούς πιστωτικών καρτών, εκμεταλλευόμενη περίπου 13 εκατομμύρια κλικ σε κακόβουλους συνδέσμους, οι οποίοι στάλθηκαν μέσω μηνυμάτων σε ανυποψίαστους χρήστες.
Η ψηφιακή αυτή απάτη εκτυλίχθηκε σε χρονικό διάστημα επτά μηνών μεταξύ του 2023 και 2024. Επομένως, τα αναφερόμενα στοιχεία δεν αντικατοπτρίζουν το συνολικό εύρος της οικονομικής ζημιάς που έχει προκαλέσει η συγκεκριμένη πλατφόρμα.
Τα παραπάνω ευρήματα προέκυψαν από κοινή έρευνα που διεξήχθη από δημοσιογραφικούς οργανισμούς όπως οι NRK, Bayerischer Rundfunk και Le Monde, σε συνεργασία με την νορβηγική εταιρεία κυβερνοασφάλειας Mnemonic. Η έρευνα αυτή αποκάλυψε την ταυτότητα 600 χρηστών της phishing υπηρεσίας (δηλαδή κυβερνοεγκληματιών), καθώς και του βασικού δημιουργού και προμηθευτή της Darcula.
Η εκρηκτική εξάπλωση της Darcula
H Darcula αποτελεί μια εξελιγμένη πλατφόρμα phishing που έχει βάλει στο στόχαστρο χρήστες iPhone και Android σε περισσότερες από 100 χώρες. Χρησιμοποιεί πάνω από 20.000 παραπλανητικά domains που μιμούνται δημοφιλείς εταιρείες, με σκοπό την εξαπάτηση των χρηστών και την υποκλοπή ευαίσθητων στοιχείων από τους λογαριασμούς τους.
Δείτε επίσης: Ο MintsLoader διανέμει το GhostWeaver μέσω Phishing, ClickFix
Τα μηνύματα phishing εμφανίζονται συχνά σαν ειδοποιήσεις για πρόστιμα από διόδια ή ενημερώσεις για παραδόσεις δεμάτων, ενσωματώνοντας ύπουλους συνδέσμους προς ψεύτικες ιστοσελίδες.
Σύμφωνα με τους ερευνητές της Netcraft, οι οποίοι πρώτοι έκρουσαν τον κώδωνα του κινδύνου τον Μάρτιο του 2024, η Darcula ξεχωρίζει από παρόμοιες πλατφόρμες λόγω της χρήσης προηγμένων καναλιών επικοινωνίας όπως τα RCS και iMessage (αντί για τα παραδοσιακά SMS), γεγονός που καθιστά τις επιθέσεις πιο πειστικές και αποτελεσματικές.
Μέχρι τον Φεβρουάριο του 2025, οι ερευνητές παρατήρησαν μια σημαντική αναβάθμιση στις δυνατότητες της πλατφόρμας Darcula. Οι διαχειριστές της πλέον είχαν στη διάθεσή τους αυτοματοποιημένα εργαλεία για την παραγωγή phishing kits, τα οποία μπορούσαν να στοχεύσουν οποιαδήποτε γνωστή επωνυμία. Παράλληλα, ενσωματώθηκαν νέες λειτουργίες για αποφυγή εντοπισμού, ένας μηχανισμός μετατροπής πραγματικών πιστωτικών καρτών σε εικονικές, καθώς και ένας πιο φιλικός στη χρήση πίνακας ελέγχου για την οργάνωση των phishing επιθέσεων.
Στα μέσα Απριλίου του 2025, η εταιρεία Netcraft εντόπισε ακόμη μία καινοτομία: την ενσωμάτωση generative AI στην πλατφόρμα. Μέσω LLMs (μοντέλα φυσικής γλώσσας), οι δράστες απέκτησαν τη δυνατότητα να δημιουργούν εξατομικευμένα σενάρια απάτης, σε οποιαδήποτε γλώσσα και για κάθε πιθανό θέμα, αυξάνοντας εντυπωσιακά την πειστικότητα και την εμβέλεια των επιθέσεων.
Πώς λειτουργεί η πλατφόρμα
Η τεχνική έρευνα που πραγματοποίησε η Mnemonic συμπεριέλαβε ανάλυση της υποδομής phishing μέσω reverse engineering και αποκάλυψε ένα προηγμένο toolkit με την ονομασία “Magic Cat“. Αυτό το λογισμικό φαίνεται να αποτελεί τον βασικό κορμό της επιχειρησιακής λειτουργίας της phishing υπηρεσίας Darcula.
Δείτε επίσης: Νέα phishing emails μιμούνται τη Google για κλοπή credentials
Οι ερευνητές κατάφεραν επίσης να διεισδύσουν σε κανάλι Telegram που σχετιζόταν με το κύκλωμα. Εκεί εντόπισαν φωτογραφίες που απεικόνιζαν εξοπλισμό όπως SIM farms, modems, καθώς και τεκμήρια πολυτελούς διαβίωσης που φέρεται να προέρχονται από τα έσοδα των ηλεκτρονικών απατών.
Με τη βοήθεια τεχνικών OSINT και ανάλυσης δεδομένων DNS, οι ερευνητές συνέδεσαν τη λειτουργία της Darcula με έναν Κινέζο υπήκοο και ένα developer account στο GitHub.
Αναγνώριση υπόπτου και εταιρική εμπλοκή
Η νορβηγική δημόσια ραδιοτηλεόραση NRK υποστηρίζει ότι τα ψηφιακά ίχνη οδηγούν σε έναν 24χρονο άνδρα από την επαρχία Henan της Κίνας. Ο άνδρας φέρεται να συνδέεται με μια εταιρεία που πιστεύεται ότι βρίσκεται πίσω από την ανάπτυξη του Magic Cat.
Εκπρόσωπος της συγκεκριμένης εταιρείας, σε επικοινωνία με τα μέσα ενημέρωσης, υποστήριξε ότι το πρόσωπο αυτό, ονόματι Yucheng, είχε απλώς εργαστεί παλαιότερα εκεί και διέψευσε κάθε εμπλοκή στην τέλεση παράνομων ενεργειών. Σύμφωνα με τον εκπρόσωπο, η εταιρεία προσφέρει αποκλειστικά “εργαλεία δημιουργίας ιστοσελίδων”.
Παρόλο που η ίδια η εταιρεία παραδέχτηκε ότι το Magic Cat χρησιμοποιείται για επιθέσεις phishing και διαβεβαίωσε ότι θα το αποσύρει, αργότερα κυκλοφόρησε νέα έκδοση του εργαλείου (όπως σημειώνει η NRK).
Αποκάλυψη του παγκόσμιου δικτύου χρηστών του Darcula
Σε άλλο σκέλος της έρευνάς της, η NRK παρουσίασε στοιχεία για περίπου 600 διαφορετικά άτομα που φαίνεται να αξιοποιούν την phishing πλατφόρμα Darcula για την υποκλοπή στοιχείων πληρωμής από ανυποψίαστα θύματα σε διεθνές επίπεδο. Συνολικά, έχουν εντοπιστεί δεδομένα που σχετίζονται με περίπου 884.000 πιστωτικές και χρεωστικές κάρτες παγκοσμίως.
Οι δράστες φέρονται να δρουν οργανωμένα μέσα από ιδιωτικές ομάδες στο Telegram, τις οποίες η NRK παρακολουθούσε διακριτικά για περισσότερο από έναν χρόνο. Πολλοί από αυτούς επικοινωνούν στα κινεζικά και διαχειρίζονται SIM farms και hardware setups, ώστε να στέλνουν μαζικά phishing SMS και να «ξεπλένουν» τις κλεμμένες κάρτες μέσω πλαστών τερματικών.
Η έρευνα εντόπισε, επίσης, άτομα με σημαντική επιρροή στο δίκτυο, όπως τον ‘x66/Kris‘, έναν χρήστη με έδρα την Ταϊλάνδη, ο οποίος φαίνεται να κατέχει υψηλή θέση στη δομή της Darcula και να διευθύνει μεγάλο όγκο κακόβουλης δραστηριότητας.
Δείτε επίσης: Προσοχή – phishing email περνάει τους ελέγχους των Google και Gmail
Όλες οι πληροφορίες που συλλέχθηκαν έχουν παραδοθεί στις αρμόδιες αρχές για να προχωρήσουν οι απαραίτητες νομικές ενέργειες.
Tips προστασίας από mobile phishing
- Να είστε προσεκτικοί με ύποπτα μηνύματα: Μην κάνετε κλικ σε συνδέσμους και μην ανοίγετε συνημμένα από άγνωστες πηγές. Διαγράψτε αμέσως ύποπτα μηνύματα.
- Επαληθεύστε τη νομιμότητα των εφαρμογών: Κατεβάστε εφαρμογές μόνο από επίσημα καταστήματα εφαρμογών και ερευνήστε τον προγραμματιστή πριν τη λήψη.
- Να είστε προσεκτικοί με τα προσωπικά στοιχεία: Να είστε προσεκτικοί με ιστότοπους ή εφαρμογές που ζητούν πάρα πολλές προσωπικές πληροφορίες, ειδικά εάν δεν είστε εξοικειωμένοι με αυτά. Οι νόμιμες πηγές συνήθως δεν απαιτούν υπερβολικά προσωπικά στοιχεία.
- Ελέγξτε για πιστοποιητικά ασφαλείας: Πριν εισαγάγετε οποιεσδήποτε ευαίσθητες πληροφορίες σε έναν ιστότοπο, βεβαιωθείτε ότι έχει ασφαλή σύνδεση ελέγχοντας για πρωτόκολλο HTTPS και σύμβολο λουκέτου στη γραμμή διευθύνσεων.
- Διατηρήστε το λογισμικό της συσκευής σας ενημερωμένο: Ενημερώστε τακτικά το λειτουργικό σύστημα και τις εφαρμογές της κινητής συσκευής σας για να επιδιορθώσετε τυχόν ευπάθειες ασφαλείας.
- Χρησιμοποιήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης: Δημιουργήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για όλους τους διαδικτυακούς λογαριασμούς σας, ώστε να είναι πιο δύσκολη η πρόσβαση των εισβολέων στις πληροφορίες σας. Εξετάστε το ενδεχόμενο να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης για να δημιουργήσετε και να αποθηκεύσετε σύνθετους κωδικούς πρόσβασης με ασφάλεια.
- Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων: Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων για όλους τους διαδικτυακούς λογαριασμούς σας για να προσθέσετε ένα επιπλέον επίπεδο ασφάλειας.
- Χρησιμοποιήστε εργαλεία κατά του mobile phishing: Εγκαταστήστε και χρησιμοποιήστε εργαλεία κατά του phishing στην κινητή συσκευή σας για να εντοπίσετε και να αποτρέψετε επιθέσεις ηλεκτρονικού ψαρέματος.
- Αποφύγετε τη χρήση δημόσιου Wi-Fi: Τα δημόσια δίκτυα Wi-Fi είναι ευάλωτα σε παραβιάσεις ασφαλείας, γεγονός που διευκολύνει τους εισβολείς να υποκλέψουν τα προσωπικά σας στοιχεία.
- Εκπαιδεύστε τον εαυτό σας: Μείνετε ενημερωμένοι για τις πιο πρόσφατες τεχνικές phishing και τις απάτες, ώστε να μπορείτε να τις αναγνωρίσετε και να αποφύγετε να πέσετε θύματα.
Πηγή: www.bleepingcomputer.com
