A plataforma Darcula, especializada em phishing-as-a-service (PhaaS), roubou 884.000 cartões de crédito a partir de 13 milhões de cliques em links maliciosos enviados via mensagens de texto para alvos em todo o mundo.
O golpe cibernético foi realizado ao longo de sete meses entre 2023 e 2024, então não reflete o total que a plataforma de cibercrime ajudou a roubar.
Esses números vêm de uma pesquisa coordenada por investigadores da NRK, Bayerischer Rundfunk, Le Monde e da firma de segurança norueguesa Mnemonic, que identificaram 600 operadores (clientes de cibercrime) e o principal criador e vendedor da plataforma.
Darcula é uma plataforma de PhaaS que visa usuários de Android e iPhone em mais de 100 países, utilizando 20.000 domínios que falsificam marcas bem conhecidas, com o objetivo de roubar credenciais de contas das pessoas.
Esses textos de phishing comumente se passam por multas de pedágio ou notificações de envio de pacotes que incluem links para sites de phishing.
Pesquisadores da Netcraft, que foram os primeiros a destacar a ameaça emergente em março de 2024, notaram que a Darcula se distinguia de serviços similares de cibercrime através de sua capacidade de usar RCS e iMessage em vez de SMS, o que tornava seus ataques mais eficazes.
Em fevereiro de 2025, os mesmos pesquisadores relataram que a Darcula havia passado por uma evolução significativa, permitindo agora que os operadores gerassem automaticamente kits de phishing para qualquer marca, além de implementar novos recursos de ocultação, um conversor de cartão de crédito para cartão virtual e um painel administrativo simplificado.
Em abril de 2025, a Netcraft observou a introdução de IA generativa na Darcula, permitindo que cibercriminosos criassem golpes personalizados com a ajuda de ferramentas de LLM em qualquer idioma e para qualquer tópico.
A investigação da Mnemonic, que envolveu a engenharia reversa da infraestrutura de phishing, levou à descoberta de um poderoso kit de ferramentas de phishing chamado 'Magic Cat', que é a espinha dorsal da operação Darcula.
Os pesquisadores também infiltraram-se no grupo do Telegram associado à operação da Darcula, descobrindo fotos de fazendas de SIM, modems e evidências de estilos de vida luxuosos financiados pelos golpes.
Por meio do trabalho de OSINT e análise passiva de DNS, eles rastrearam as pegadas digitais da operação até um indivíduo chinês e uma conta de desenvolvedor no GitHub, entre outras coisas.
A NRK afirma que o indivíduo é um jovem de 24 anos de Henan, China, ligado a uma empresa que se acredita ter criado o Magic Cat.
Um porta-voz da empresa informou à imprensa que Yucheng era um ex-funcionário e negou qualquer envolvimento em fraude, alegando que vendem apenas "software de criação de sites".
A NRK nota que, embora a empresa tenha reconhecido que o Magic Cat é usado para phishing e tenha afirmado que o desativaria, uma nova versão foi lançada.
Em um post separado, a NRK revela cerca de 600 golpistas individuais usando a Darcula para roubar informações de cartões de pagamento de vítimas globalmente, com 884.000 cartões capturados mundialmente.
Os operadores são organizados em grupos fechados do Telegram, que a NRK monitorou por mais de um ano, descobrindo que a maioria se comunica em chinês e opera fazendas de SIM e configurações de hardware para enviar mensagens de texto em massa e processar cartões roubados através de terminais.
O relatório da NRK destaca operadores com volumes muito altos de tráfego malicioso facilitado pela Darcula, incluindo um usuário baseado na Tailândia, 'x66/Kris', que parece estar alto na hierarquia.
Todas as informações coletadas pelos pesquisadores e investigadores foram compartilhadas com as autoridades policiais aplicáveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...