Darcula钓鱼平台升级：支持自动生成钓鱼工具包，全球品牌成目标

Darcula 网络钓鱼即服务平台（PhaaS）即将发布第三个主要版本——Darcula Suite，其中一个突出的功能是能够创建针对任何品牌的DIY网络钓鱼工具包。

除了这一新功能外，Darcula Suite版本还取消了技术技能要求，提供了全新的、易于操作的管理面板，集成了 IP 地址与机器人过滤系统、活动效果评估功能，甚至具备自动窃取信用卡信息并为数字钱包充值的恶意功能。

Darcula Suite目前还处于测试阶段，Netcraft的研究人员对最新测试版进行了实际操作分析，证实了该版本所宣称的各项功能真实有效。

宣布Darcula 3.0测试版的可用性 来源：Netcraft

去年，Darcula作为一个庞大的PhaaS操作平台迅速崛起，依托 20,000 多个域名，冒充知名品牌，窃取全球100多个国家和地区的Android和iOS用户凭证。

即将推出的Darcula Suite，突出功能是允许“客户”DIY钓鱼工具包，使用者只需在平台上输入想要冒充的品牌URL，平台便能自动生成实施攻击所必需的全部模板。

平台使用Puppeteer工具克隆合法网站，精准复制网站的 HTML、CSS、图像以及 JavaScript 代码，从而完美复刻原网站的设计风格，极具迷惑性。

克隆合法网站 来源：Netcraft

诈骗者拥有极大的操作灵活性，可以自由选择修改登录字段、支付表单以及双因素身份验证提示等关键元素，将其替换为钓鱼页面，使用自定义错误消息，甚至修改 JavaScript 代码窃取输入数据。

Darcula Suite还提供了丰富的预制模板，涵盖假密码重置页面、信用卡支付表单以及 2FA 代码输入提示等。

为信用卡钓鱼注入的支付表单 来源：Netcraft

配置完成后，钓鱼网站会被打包成一个包含所有攻击所需文件的“.cat-page”捆绑包。然后，该工具包被上传到Darcula管理面板，以便进行部署、集中管理、实时数据盗窃和性能监控。

除了新的DIY系统外，Darcula 3.0还升级了以下功能：

1. 反检测功能，包括随机化部署路径、IP过滤、爬虫阻挡和设备类型限制。

2. 新的管理面板，简化了钓鱼活动管理，提供性能仪表板、实时被盗凭证日志以及受害者提交敏感信息时的Telegram通知。

3. 一个新工具，将窃取的信用卡数据转换为虚拟卡图像，可以添加到数字支付应用中。

虚拟卡生成系统 来源：Netcraft

Darcula 3.0 能够利用被盗卡信息生成受害者卡片的图像，这使得犯罪分子只需扫描图像即可轻松将其添加到数字钱包中。即使是已报告被盗的卡片，也能被关联到犯罪分子的钱包。

基于被盗卡信息生成的虚拟卡片示例 来源：Netcraft

Netcraft 研究人员指出：“这些卡片通常会被加载到一次性手机上，然后由 Darcula 犯罪分子出售。这种行为的真实性已被诈骗者证实，他们通过 Telegram 聊天群公开出售预装了最多 20 张被盗卡片的一次性手机。”

犯罪分子可以通过以下步骤利用这些卡片或钱包进行盗窃：

• 在 Stripe 或 Zelle 上设立虚假电商业务并进行交易。

• 在他们获取的销售点（PoS）终端上实施“轻触支付”。

• 使用支持 NFC 的 Android 应用程序，从全球各地的手机中继有效的轻触支付交易，通过 PoS 终端支付或从 ATM 取款。

Darcula 3.0及其强大新功能的引入使得检测和阻止钓鱼活动变得更加困难。尽管正式版本尚未发布，但Netcraft警告称，随着更强大版本的到来，网络犯罪分子已经开始转向使用该平台。在过去10个月中，Netcraft 检测并阻止了将近100,000个Darcula 2.0域名、20,000个钓鱼网站和31,000个与该平台相关的IP地址。

报告指出：“由于用于运行管理面板的容器镜像在registry[.]magic-cat[.]world上公开可用，Netcraft能够粗略估计已经在探索此测试套件的个人数量。从2月5日到2月10日，API镜像的拉取次数增加了超过100%，Web镜像增加了超过50%。”