Darcula Hizmet Olarak Kimlik Avı (PHAAS) platformunun arkasındaki tehdit aktörleri, siber suçlu süitlerinde üretken yapay zeka (Genai) yetenekleriyle yeni güncellemeler yayınladılar.
Hacker News ile paylaşılan yeni bir raporda Netcraft, “Bu ek, kimlik avı sayfaları oluşturmak için teknik engelleri azaltarak, daha az teknoloji meraklı suçluların birkaç dakika içinde özelleştirilmiş dolandırıcılık kullanmasını sağlıyor.” Dedi.
“Yeni AI destekli özellikler, tüm programlama bilgisi olmadan, çok dilli destek ve form üretimi ile özel kimlik avı sayfaları oluşturma sürecini basitleştirerek Darcula’nın tehdit potansiyelini artırıyor.”
Darcula ilk olarak Mart 2024’te siber güvenlik şirketi tarafından Apple IMessage ve RCS’yi kullanıcılara, alıcıları USPS gibi posta hizmetlerinin kisvesi altındaki sahte bağlantıları tıklamaya iten kullanıcılara göndermek için bir araç seti olarak belgelendi.
Bu yılın başlarında, Darcula Phaas operatörleri, müşterilerin herhangi bir markanın meşru web sitesini klonlamasını ve kimlik avı sürümü oluşturmasını sağlayan büyük bir güncellemeyi test etmeye başladı.
https://www.youtube.com/watch?v=6scsezxui2i
Kimlik avı kiti, prodaft, Larva-246 kodlu bir tehdit aktörünün çalışmasıdır ve xxhcv / darcula_channel adlı bir telgraf kanalı aracılığıyla satışa sunulmaktadır. Aynı özellikleri ve şablonları Lucid olarak adlandırılan başka bir PhaA’larla paylaşır.
Darcula, Lucid ve Deniz Feneri, Çin’den gelişen gevşek bağlantılı bir siber suç ekosisteminin bir parçası olarak değerlendiriliyor ve tehdit aktörlerinin Smishing Triad olarak adlandırılan bir etkinlik kümesi tarafından işgal edilenler gibi finansal olarak motive olmuş çeşitli dolandırıcıları çekmesini sağlıyor.
Netcraft, “Darcula, SMS tabanlı kimlik avı (sminging) saldırıları yoluyla küresel olarak kitlesel hedefleyen bireyler için bilinen gevşek bağlı Smishing-Triad altındaki çeşitli topluluklardan biridir.” Dedi.
Darcula’yı zorlayıcı kılan şey, kimlik avı sayfaları kolayca hazırlamayı ve ölçekte kampanyalar yürütmeyi çok az veya hiç teknik uzmanlığı olmayan tehdit aktörlerinin mümkün kılmasıdır.
23 Nisan 2025’te açıklanan kimlik avı kitindeki son gelişme, çeşitli dillerde kimlik avı form üretimini kolaylaştıran, form alanı özelleştirme ve kimlik avı formlarının yerel dillere çevirisini kolaylaştıran Genai entegrasyonu şeklini alıyor.
Siber güvenlik şirketi, 25.000’den fazla Darcula sayfasını indirdiğini, yaklaşık 31.000 IP adresini engellediğini ve Mart 2024’ten bu yana 90.000’den fazla kimlik avı alanını işaretlediğini söyledi.
Güvenlik araştırmacısı Harry Everett, “Bu tür esneklik, acemi bir saldırganın artık birkaç dakika içinde özelleştirilmiş bir kimlik avı sitesi oluşturabileceği ve dağıtabileceği anlamına geliyor.” Dedi.