Uma vasta operação de cibercrime, assente na plataforma de phishing-as-a-service (PhaaS) denominada Darcula, conseguiu roubar os dados de 884.000 cartões de crédito. Estes dados foram obtidos através de 13 milhões de cliques em links maliciosos, enviados por mensagens de texto para vítimas em todo o globo. A recolha destes dados ocorreu ao longo de um período de sete meses, entre 2023 e 2024, o que sugere que o número total de dados roubados pela plataforma poderá ser ainda maior.
Estes números alarmantes são fruto de uma investigação coordenada entre jornalistas da NRK (Noruega), Bayerischer Rundfunk (Alemanha), Le Monde (França) e a empresa de segurança norueguesa Mnemonic. A investigação conjunta permitiu identificar cerca de 600 operadores (clientes da plataforma de cibercrime) e o principal criador e vendedor da Darcula.
O Esquema Darcula em Detalhe
A Darcula é uma plataforma PhaaS sofisticada que visa utilizadores de Android e iPhone em mais de 100 países. Para tal, utiliza uma rede de 20.000 domínios que se fazem passar por marcas conhecidas, com o objetivo final de subtrair credenciais de acesso das vítimas.
As táticas mais comuns envolvem o envio de mensagens SMS fraudulentas que simulam ser notificações de multas de portagens ou alertas de envio de encomendas. Estas mensagens contêm links que redirecionam os utilizadores para páginas de phishing cuidadosamente desenhadas para roubar informação.
Investigadores da Netcraft, que foram os primeiros a alertar para a crescente ameaça em março de 2024, destacaram que a Darcula se diferenciava de serviços similares pela sua capacidade de utilizar os protocolos RCS (Rich Communication Services) e iMessage, para além do tradicional SMS. Esta abordagem tornou os seus ataques significativamente mais eficazes, contornando algumas defesas habituais.
Evolução Constante: Da Furtividade à Inteligência Artificial
A plataforma Darcula não se manteve estática. Em fevereiro de 2025, a Netcraft reportou uma evolução substancial: a Darcula passou a permitir que os operadores gerassem automaticamente kits de phishing para qualquer marca. Além disso, implementou novas funcionalidades de furtividade, um conversor de dados de cartões de crédito para cartões virtuais e um painel de administração simplificado para os cibercriminosos.
A sofisticação aumentou ainda mais quando, em abril de 2025, a Netcraft observou a introdução de inteligência artificial generativa na plataforma. Esta atualização permite aos cibercriminosos criar esquemas de phishing personalizados com a ajuda de ferramentas de modelos de linguagem ampla (LLM), em qualquer idioma e sobre qualquer tema, tornando os ataques ainda mais convincentes e difíceis de detetar.
Investigação Expõe Operação e Criadores
A investigação da Mnemonic foi crucial para desvendar os bastidores da operação. Através de engenharia inversa da infraestrutura de phishing, descobriram um poderoso kit de ferramentas denominado 'Magic Cat', que constitui a espinha dorsal da Darcula.
Os investigadores conseguiram também infiltrar-se no grupo de Telegram associado à operação. Aí, encontraram fotografias de "quintas" de cartões SIM (SIM farms), modems e outras provas que evidenciavam os estilos de vida luxuosos financiados pelos lucros dos esquemas.
Recorrendo a técnicas de OSINT (Open Source Intelligence) e análise passiva de DNS, a equipa conseguiu rastrear as pegadas digitais da operação, ligando-as, entre outros, a um indivíduo de nacionalidade chinesa e a uma conta de programador no GitHub.
A Ligação à China e a Negação
A NRK avança que o indivíduo em questão é um jovem de 24 anos da província de Henan, na China, associado a uma empresa que se acredita ter criado o 'Magic Cat'.
Um porta-voz dessa empresa, em declarações à imprensa, afirmou que o indivíduo era um antigo funcionário e negou qualquer envolvimento da empresa em atividades fraudulentas, alegando que apenas comercializam "software de criação de websites".
A NRK nota, no entanto, uma contradição: apesar de a empresa ter reconhecido que o 'Magic Cat' é usado para phishing e ter afirmado que iria descontinuá-lo, uma nova versão do software foi lançada posteriormente.
A Rede Global de Operadores
Numa publicação separada, a NRK revela detalhes sobre os cerca de 600 cibercriminosos individuais que utilizam a Darcula para roubar informações de cartões de pagamento a nível mundial, responsáveis pela captura dos 884.000 cartões identificados.
Estes operadores organizam-se em grupos fechados no Telegram, que a NRK monitorizou durante mais de um ano. A maioria comunica em chinês e opera as já mencionadas SIM farms e outras configurações de hardware para enviar mensagens de texto em massa e processar os cartões roubados através de terminais.
O relatório da NRK destaca ainda operadores com volumes particularmente elevados de tráfego malicioso facilitado pela Darcula, incluindo um utilizador baseado na Tailândia, conhecido como 'x66/Kris', que parece ocupar uma posição elevada na hierarquia da operação.
Toda a informação recolhida pelos investigadores e jornalistas foi partilhada com as autoridades policiais competentes nos respetivos países para que possam tomar as devidas ações.
Nenhum comentário
Seja o primeiro!