Credit image: Pixabay
Bikin panas dingin, ratusan ribu kartu kredit dicuri Darcula lewat phising belum lama. Sejak kehadirannya sepak terjang Darcula semakin lama semakin menakutkan.
Platform phising as a Service (PhaaS) Darcula mencuri 884.000 kartu kredit dari 13 juta klik pada tautan berbahaya yang dikirim melalui pesan teks ke target di seluruh dunia.
Pencurian siber dilakukan selama tujuh bulan antara tahun 2023 dan 2024, jadi tidak mencerminkan jumlah total yang dicuri oleh platform kejahatan siber tersebut.
Angka-angka ini berasal dari penelitian terkoordinasi oleh para investigator dari berbagai peneliti keamanan dari bermacam kelompok yang mengidentifikasi 600 operator (klien kejahatan siber) dan pembuat serta penjual utama platform tersebut.
|
Baca juga: Asupan GenAI Bikin PhaaS Darcula Makin Menyeramkan |
Peningkatan Pesat Darcula
Darcula adalah platform PhaaS yang menargetkan pengguna Android dan iPhone di lebih dari 100 negara menggunakan 20.000 domain yang memalsukan merek terkenal, yang bertujuan untuk mencuri kredensial akun orang.
Pesan teks phising ini biasanya berpura-pura sebagai denda tol atau pemberitahuan pengiriman paket yang menyertakan tautan ke situs phising.
Peneliti pertama kali menyoroti meningkatnya ancaman pada Maret 2024, mencatat bahwa Darcula dibedakan dari layanan kejahatan dunia maya serupa melalui kemampuannya menggunakan RCS dan iMessage alih-alih SMS yang membuat serangannya lebih efektif.
Pada Februari 2025, peneliti melaporkan bahwa Darcula telah mengalami evolusi yang signifikan, kini memungkinkan operator untuk membuat perangkat phising secara otomatis untuk merek apa pun, sekaligus menerapkan fitur siluman baru, konverter kartu kredit ke kartu virtual, dan panel admin yang disederhanakan.
Pada April 2025, diperkenalkannya AI generatif di Darcula, yang memungkinkan penjahat dunia maya membuat penipuan khusus dengan bantuan alat LLM dalam bahasa apa pun dan untuk topik apa pun.
|
Baca juga: PhaaS Morphing Meerkat |
Mengungkap Rahasia
Investigasi peneliti yang melibatkan rekayasa balik infrastruktur phising, menghasilkan penemuan perangkat phising canggih bernama ‘Magic Cat’, yang merupakan tulang punggung operasi Darcula.
Para peneliti juga menyusup ke grup Telegram yang terkait dengan operasi Darcula, mengungkap foto-foto peternakan SIM, modem, dan bukti gaya hidup mewah yang dibiayai oleh penipuan tersebut.
Melalui OSINT dan analisis DNS pasif, mereka melacak jejak digital operasi tersebut ke seorang individu Tiongkok dan akun pengembang GitHub.
Peneliti mengklaim individu tersebut berusia 24 tahun dari Henan, Tiongkok, yang terkait dengan perusahaan yang diyakini telah menciptakan Magic Cat.
Menurut informasi, Yucheng adalah mantan karyawan dan membantah terlibat dalam penipuan, dengan mengklaim bahwa perusahaan tersebut hanya menjual “perangkat lunak pembuatan situs web.”
Peneliti mencatat bahwa meskipun perusahaan tersebut mengakui bahwa Magic Cat digunakan untuk phising dan mengklaim bahwa mereka akan menutupnya, tapi versi baru telah dirilis.
|
Baca juga: PhaaS EvilProxy |
Libatkan 600 Scammer
Dan para peneliti mengungkap sekitar 600 penipu individu menggunakan Darcula untuk mencuri informasi kartu pembayaran dari korban secara global, dengan 884.000 kartu berhasil dicuri di seluruh dunia.
Operator diorganisasikan ke dalam grup Telegram tertutup, yang dipantau NRK selama lebih dari setahun bertujuan untuk lebih mengontrol situas.
Dari sana juga ditemukan bahwa sebagian besar berkomunikasi dalam bahasa Mandarin dan menjalankan peternakan SIM untuk keperluan operasi.
Dan pengaturan perangkat keras untuk mengirim pesan teks massal dan memproses kartu yang dicuri melalui terminal.
Laporan juga menyoroti operator dengan volume lalu lintas berbahaya yang sangat tinggi yang difasilitasi oleh Darcula, termasuk pengguna yang berbasis di Thailand, ‘x66/Kris,’ yang tampaknya berada di posisi tinggi dalam hierarki.
Semua informasi yang dikumpulkan oleh para peneliti dan penyelidik dibagikan dengan otoritas penegak hukum yang berlaku.
Sumber berita:
