La plate-forme Darcula phishing-as-a-service (PhaaS) se prépare à publier sa troisième version majeure, avec l’une des fonctionnalités mises en évidence, la possibilité de créer des kits de phishing à faire soi-même pour cibler n’importe quelle marque.
La prochaine version, actuellement disponible en version bêta, supprimera les restrictions de portée de ciblage en offrant un nombre limité de kits de phishing et en permettant à quiconque de créer les leurs.
En plus de cette nouvelle fonctionnalité, la prochaine version, nommée « Darcula Suite », soulève également les exigences en matière de compétences techniques, un nouveau tableau de bord d’administration convivial, le filtrage des adresses IP et des robots, la mesure des performances des campagnes et le chargement automatisé des vols de cartes de crédit/portefeuilles numériques.
Les chercheurs de Netcraft ont testé l’une des dernières versions bêta de la suite Darcula pour une analyse pratique et ont confirmé que les fonctionnalités annoncées sont légitimes.
Darcula est apparue l’année dernière comme une opération PhaaS massive s’appuyant sur 20 000 domaines qui usurpent des marques renommées pour voler les informations d’identification des utilisateurs Android et iOS dans plus de 100 pays.
Avec une version beaucoup plus puissante en cours, Netcraft avertit que les cybercriminels s’y tournent même si la version officielle n’est pas encore sortie.
« Parce que les images de conteneur utilisées pour exécuter le panneau d’administration sont accessibles au public dans le registre[.] chat magique[.] monde, Netcraft a pu obtenir une estimation approximative du nombre d’individus explorant déjà cette suite de tests », lit-on dans le rapport.
« Le nombre d’extractions de l’image API a augmenté de plus de 100% et l’image Web de plus de 50% du 5 au 10 février. »
Hameçonnage à faire soi-même
La fonctionnalité mise en évidence de la prochaine Suite Dracula est le générateur de kit de phishing DIY qui permet aux « clients » d’insérer l’URL de la marque qu’ils souhaitent usurper. La plateforme générera alors automatiquement tous les modèles requis pour l’attaque.
La plate-forme clone le site légitime à l’aide de l’outil Marionnettiste, en copiant le code HTML, CSS, images et JavaScript, pour conserver le design d’origine.
Le fraudeur peut choisir les éléments à modifier, tels que les champs de connexion, les formulaires de paiement et les invites d’authentification à deux facteurs, les remplacer par des pages de phishing, utiliser des messages d’erreur personnalisés ou modifier JavaScript pour voler des données d’entrée.
Darcula Suite propose des modèles prédéfinis, tels que de fausses pages de réinitialisation de mot de passe, des formulaires de paiement par carte de crédit et des invites de saisie de code 2FA.
Une fois configuré, le site de phishing est emballé dans un ensemble ». cat-page » contenant tous les fichiers nécessaires à l’attaque.
Le kit est ensuite téléchargé sur le panneau d’administration Darcula pour permettre le déploiement, la gestion centrale, le vol de données en temps réel et la surveillance des performances.
Outre le nouveau système de bricolage, Dracula 3.0 apporte:
- Fonctionnalités anti-détection avec chemins de déploiement aléatoires, filtrage IP, blocage des robots d’exploration et restrictions de type d’appareil.
- Un nouveau panneau d’administration avec une gestion simplifiée des campagnes de phishing, un tableau de bord des performances, des journaux en temps réel des informations d’identification volées et des notifications Telegram lorsqu’une victime soumet des informations sensibles.
- Un nouvel outil pour convertir les données de cartes de crédit volées en images de cartes virtuelles pouvant être ajoutées aux applications de paiement numérique.
Netcraft dit que les groupes Telegram liés à Darcula font déjà la promotion de téléphones graveurs préchargés avec plusieurs cartes volées à vendre, un autre signe de l’adoption accrue de la nouvelle version de Darcula.
L’introduction de Darcula 3.0 et ses puissantes nouvelles fonctionnalités rendent la détection et l’arrêt des campagnes de phishing encore plus difficiles, tandis que la facilité d’utilisation de la dernière version garantit que les volumes de phishing augmenteront.
Netcraft commente qu’au cours des 10 derniers mois, il a détecté et bloqué près de 100 000 domaines Darcula 2.0, 20 000 sites de phishing et 31 000 adresses IP associées à la plate-forme.