Darcula PhaaS: la rete di phishing che ha rubato 884 mila carte di credito in sette mesi

La piattaforma Darcula PhaaS (Phishing-as-a-Service) ha sottratto informazioni di 884 mila carte di credito attraverso una massiccia campagna di messaggi SMS fraudolenti. L'operazione, condotta nell'arco di sette mesi tra il 2023 e il 2024, ha generato 13 milioni di clic su link malevoli inviati a potenziali vittime in tutto il mondo.

Questi dati emergono da un'indagine coordinata condotta da NRK, Bayerischer Rundfunk, Le Monde e dalla società di sicurezza norvegese Mnemonic, che ha permesso di identificare circa 600 operatori criminali e il principale creatore della piattaforma.

Darcula PhaaS, la piattaforma che può rubare carte di credito da un SMS

Darcula rappresenta un'evoluzione nel panorama delle minacce informatiche, configurandosi come piattaforma da cui operatori possono effettuare i loro attacchi più o meno mirati. La piattaforma prende di mira utenti Android e iPhone in oltre 100 paesi, utilizzando circa 20 mila domini che imitano marchi famosi per rubare credenziali e dati finanziari. I messaggi di phishing si presentano tipicamente come notifiche di spedizioni pacchi o multe per pedaggi stradali, contenenti link che conducono a siti fraudolenti.

L 'esistenza della minaccia era stata divulgata da ricercatori di Netcraft a marzo 2024, che avevano osservato come Darcula avesse caratteristiche uniche rispetto ad altre piattaforme simili, come ad esempio la capacità di utilizzare il protocollo RCS (Rich Communication Services) e iMessage invece dei tradizionali SMS. Questa caratteristica ha reso gli attacchi notevolmente più efficaci, e a febbraio si è evoluta ulteriormente attraverso nuove funzionalità che hanno permesso agli operatori di generare automaticamente kit di phishing per qualsiasi marchio.

Sono state implementate anche nuove caratteristiche di occultamento, un convertitore da carta di credito a carta virtuale e un pannello di amministrazione semplificato. L'ultimo aggiornamento, rilevato nell'aprile 2025, ha visto l'integrazione dell'intelligenza artificiale generativa, che consente ai criminali informatici di creare truffe personalizzate estremamente credibili con l'aiuto di modelli linguistici di grandi dimensioni (LLM) in qualsiasi lingua e per qualsiasi argomento.

L'indagine condotta da Mnemonic ha comportato il reverse engineering dell'infrastruttura di phishing, portando alla scoperta di un potente toolkit denominato "Magic Cat", che costituisce la spina dorsale dell'operazione Darcula. I ricercatori sono riusciti a infiltrarsi nel gruppo Telegram associato all'operazione, scoprendo foto di SIM farm, modem e prove di stili di vita lussuosi finanziati dalle attività illecite. Attraverso ulteriori indagini, gli investigatori hanno rintracciato le impronte digitali dell'operazione fino a un individuo cinese.

Secondo quanto riportato da NRK, il presunto creatore della piattaforma sarebbe un ventiquattrenne della provincia di Henan, in Cina, collegato a un'azienda che avrebbe sviluppato Magic Cat. Un portavoce dell'azienda ha tuttavia dichiarato che l'individuo, identificato come Yucheng, era un ex dipendente, e ha negato qualsiasi coinvolgimento in attività fraudolente sostenendo che il suo software serve solo "per la creazione di siti web". Nonostante l'azienda abbia comunque riconosciuto che Magic Cat viene utilizzato per operazioni di phishing e abbia dichiarato l'intenzione di interromperne lo sviluppo, dalle dichiarazioni è stata rilasciata una nuova versione del software.