Darcula phishing-as-a-service (PhaaS) platformunun arkasındaki tehdit aktörleri, potansiyel müşterilerin ve siber suçluların herhangi bir markanın resmi web sitesini klonlamasına ve bir kimlik avı versiyonu oluşturmasına olanak tanıyan yeni bir sürüm hazırlıyor gibi görünüyor. Bu, büyük ölçekli kimlik avı saldırıları gerçekleştirmek için gereken teknik uzmanlığı daha da azaltıyor.
Siber güvenlik şirketi Netcraft, bu kimlik avı paketinin en son sürümünün “suçluların yeteneklerinde önemli bir değişiklik anlamına geldiğini, kötü niyetli aktörler için giriş engelini düşürdüğünü ve karmaşık, özelleştirilebilir kimlik avı kampanyalarıyla herhangi bir markayı hedef almayı kolaylaştırdığını” belirtti.
Şirket, Mart 2024’ün sonlarında ilk kez ortaya çıktığından bu yana 95.000’den fazla yeni Darcula kimlik avı alan adını, yaklaşık 31.000 IP adresini tespit edip engellediğini ve 20.000’den fazla sahte web sitesini kapattığını açıkladı.
Darcula’ya eklenen en büyük yenilik, herhangi bir kullanıcının anında herhangi bir marka için bir kimlik avı kiti oluşturabilmesi oldu.
Hizmetin çekirdek geliştiricileri, 19 Ocak 2025’te 1.200’den fazla abonesi bulunan bir Telegram kanalında yaptıkları paylaşımda, “Yeni ve yenilenmiş sürüm artık test için hazır,” dedi.
“Artık ön yüzü (front-end) kendiniz de özelleştirebilirsiniz. Darcula-suite kullanarak 10 dakika içinde bir ön yüz üretimini tamamlayabilirsiniz.”
Bunu yapmak için kullanıcıların tek yapması gereken, taklit edilmek istenen markanın URL’sini bir web arayüzüne girmek. Platform, Puppeteer gibi bir tarayıcı otomasyon aracı kullanarak HTML’yi ve gerekli tüm varlıkları dışa aktarıyor.
Kullanıcılar daha sonra değiştirilecek HTML öğesini seçip kimlik avı içeriğini (örneğin ödeme formları ve giriş alanları) enjekte edebiliyor. Böylece sahte sayfa, taklit edilen markanın açılış sayfasının görünümüyle birebir eşleşiyor. Oluşturulan kimlik avı sayfası daha sonra bir yönetim paneline yükleniyor.
Güvenlik araştırmacısı Harry Freeborough, “Herhangi bir Yazılım-as-a-Hizmet (SaaS) ürünü gibi, Darcula-suite PhaaS platformu da dolandırıcıların çeşitli kampanyalarını yönetmesini kolaylaştıran yönetici panelleri sağlıyor,” dedi.
“Oluşturulan bu kitler, suçluların aktif kampanyalarını yönetebileceği, elde edilen verileri bulabileceği ve dağıtılan kimlik avı kampanyalarını izleyebileceği başka bir platforma yükleniyor.”
Darcula v3, kimlik avı kampanyalarının performans istatistiklerini özetleyen paneller sunmanın yanı sıra, çalınan kredi kartı bilgilerini bir mağdurun kartının sanal görüntüsüne dönüştürme olanağı da sağlıyor. Bu sanal kart, taranarak bir dijital cüzdana eklenebiliyor ve yasa dışı amaçlarla kullanılabiliyor. Özellikle, bu kartlar yanıcı (burner) telefonlara yüklenerek diğer suçlulara satılıyor.
Bu aracın şu anda dahili test aşamasında olduğu söyleniyor. 10 Şubat 2025 tarihli bir takip gönderisinde, kötü amaçlı yazılım geliştiricisi şu mesajı paylaştı: “Son günlerde meşguldüm, bu yüzden v3 güncellemesi birkaç gün ertelenecek.”
Diğer yazılarımızı okumak isterseniz tıklayabilirsiniz.
Leave a Comment