La nouvelle boîte à outils de phishing intégrée par Darcula permet aux criminels de créer des kits de phishing multi-langus personnalisés en quelques minutes – aucune compétence technique requise.
Les équipes de sécurité des entreprises sont confrontées à une escalade immédiate dans les menaces de phishing, car la célèbre boîte à outils Darcula a maintenant commencé à armer l’IA génératrice pour créer des pages de phishing très convaincantes à une vitesse et une échelle sans précédent.
Des chercheurs de la société de cybersécurité Netcraft ont détecté ce développement alarmant le 23 avril, documentant comment la plate-forme a évolué pour permettre même aux attaquants novices de lancer des campagnes sophistiquées auparavant nécessitant une expertise technique importante.
« La boîte à outils Darcula-suite exploite désormais des capacités génératrices de l’IA … permettant aux criminels moins avertis en technologie de déployer des escroqueries personnalisées en quelques minutes », a déclaré le chercheur de Netcraft, Harry Everett, dans le rapport.
La plate-forme Darcula a été à l’origine de plusieurs campagnes de phishing de haut niveau dans le passé, ciblant les utilisateurs d’Apple et d’Android au Royaume-Uni, et y compris des escroqueries de livraison de colis qui ont usurpé l’identité du service postal des États-Unis (USPS).
Ce dernier développement souligne comment les cybercriminels adoptent des modèles opérationnels de style startup, avec des outils d’outillage d’IA, de la conception intuitive et des services d’abonnement – poussant le modèle PHAAS dans la prochaine phase d’évolutivité et de sophistication.
L’innovation criminelle rencontre la Silicon Valley
Darcula, documenté pour la première fois par Netcraft au début de 2024, est rapidement devenu l’une des plates-formes de smims les plus sophistiquées du Dark Web. Conçu comme une startup moderne, Darcula utilise des outils de développement couramment vus dans les environnements SaaS – conteneurs Docker, cadres JavaScript et registre du port – pour construire et mettre à l’échelle des attaques avec efficacité.
Ce qui distingue Darcula, c’est son modèle de service. Les abonnés à la plate-forme ont accès à une boîte à outils qui automatise la génération de kit de phishing, permettant l’identité des entreprises dans presque tous les pays. La plate-forme distribue des leurres sur SMS, RCS et iMessage. Les attaquants utilisent même des techniques d’ingénierie sociale, comme encourager les réponses pour contourner les fonctionnalités de sécurité d’Apple qui désactivent les aperçus de liens des expéditeurs inconnus, a ajouté le rapport.
« Darcula n’est pas seulement une plate-forme de phishing; c’est un modèle de service conçu pour l’échelle », ont noté les chercheurs. «Les utilisateurs paient pour l’accès à une suite d’outils qui permettent une usurpation d’identité des organisations dans presque tous les pays.»
L’IA crée des attaques de phishing à bouton-poussoir
Avec la dernière mise à jour de la boîte à outils «Darcula-Suite», les utilisateurs peuvent désormais générer des pages de phishing en utilisant une IA générative qui imite les sites Web avec une précision presque parfaite – et dans n’importe quelle langue.
«Les utilisateurs fournissent une URL d’une marque ou d’un service légitime, et l’outil visite automatiquement ce site Web, télécharge tous ses actifs et rend une version modifiable», a expliqué Netcraft. «Les utilisateurs peuvent ensuite injecter du contenu malveillant tel que les formulaires de phishing ou les champs de capture des informations d’identification directement dans la page clonée.»
Dans une démo partagée par Netcraft, un attaquant a cloné la page d’accueil de Google, a généré un faux formulaire de collecte d’adresses en chinois, puis a traduit toute la page en anglais – tous utilisant le moteur d’IA de la plate-forme. Le résultat a été une page de phishing d’apparence professionnelle construite en quelques minutes, ne nécessitant aucune expertise de codage.
Cette progression donne aux acteurs de la menace la possibilité d’étendre les campagnes à des vitesses précédemment réservées aux groupes APT avancés, ciblant les utilisateurs dans n’importe quelle région avec des leurres spécifiques à la langue qui correspondent à leur emplacement et à leur type d’appareil.
Au début de cette année, la plate-forme de phishing a obtenu une nouvelle mise à jour qui a permis aux criminels moins techniques de «construire des kits de phishing à bricolage (bricolage) qui ciblent n’importe quelle marque en cliquant sur un bouton».
Le défi défensif: plus rapide, plus large, plus intelligent
La vraie préoccupation n’est pas seulement le réalisme de ces pages de phishing, mais la facilité et la vitesse avec lesquelles elles peuvent maintenant être produites. « Chaque page de phishing peut être différente par rapport à la compatition d’un nombre statique de modèles », indique le rapport. «Les méthodes de détection traditionnelles basées sur la signature sont de plus en plus inefficaces.»
L’intégration de l’IA par Darcula marque également une nouvelle frontière dans la «démocratisation de la cybercriminalité». Les acteurs novices sans compétences techniques peuvent désormais lancer des campagnes de phishing efficaces et localisées. La personnalisation et les capacités multilingues, combinées à une distribution de smishs à haut volume, rendent la détection, le retrait et la sensibilisation des utilisateurs beaucoup plus difficiles.
«L’accessibilité, la vitesse, l’évolutivité et l’évasion – les nouvelles capacités de Darcula cochent toutes les cases pour une boîte à outils de cybercriminalité moderne», a déclaré Netcraft.
Fighting Back: Au-delà des défenses traditionnelles
Netcraft, qui exploite un service de retrait pour une infrastructure malveillante, a supprimé plus de 25 000 sites de phishing, bloqué près de 31 000 adresses IP et signalé plus de 90 000 domaines associés à Darcula depuis mars 2024. Mais avec la mise à niveau alimentée en AI maintenant, la résilience de la plate-forme devrait croître.
« Nous nous attendons à ce que cette dernière itération de la suite Darcula dépasse la popularité de son prédécesseur à mesure que les nouvelles caractéristiques de l’IA deviennent plus largement adoptées dans les cercles cybercriminaux », a averti le rapport.
Les leaders de la sécurité devraient prendre des mesures immédiates en mettant en œuvre la numérisation des liens en temps réel dans les applications de messagerie, le déploiement de la détection basée sur le comportement aux points de terminaison et la mise à jour de la formation de sensibilisation à la sécurité pour aborder spécifiquement les menaces de smit sur toutes les plateformes de messagerie. Les listes de blocs d’URL statiques et la détection basée sur la signature ne suffiront plus contre ces menaces générées dynamiquement, a ajouté le rapport.
L’écosystème de smiming croissant
Darcula ne fonctionne pas isolément mais fait partie d’un réseau criminel plus large appelé The Smishing-Triad, qui est responsable de l’orchestration de campagnes de smirs à grande échelle à travers les continents. Les enquêtes précédentes de Netcraft ont révélé que Darcula a mis l’identité de plus de 100 marques mondiales – notamment des services postaux, des sociétés de télécommunications, des portails gouvernementaux et des banques – en utilisant des messages envoyés via des banques de SIM compromises.
L’infrastructure mondiale de Darcula, associée à l’automatisation de l’IA observée dans la dernière mise à jour, signifie que même les marques hautement localisées ou spécifiques au secteur ne sont pas sûres. Comme Netcraft l’a averti, «un éventail plus large de cibles est en danger avec les nouvelles capacités de personnalisation de Darcula».
Darcula n’est pas une menace marginale. Il s’agit d’un moteur de phishing moderne et bien financé qui utilise une IA générative pour perturber les défenses héritées et mettre à l’échelle les attaques à l’échelle mondiale. Pour les dirigeants de la sécurité, il signale l’arrivée d’une nouvelle classe de menaces de phishing – celle où la vitesse, la langue et la précision sont automatisées et externalisées. Les organisations devraient revisiter immédiatement leurs manuels de réponse à la réponse au phishing. L’âge des «kits de phishing en tant que service» est terminé. Ce que nous assistons maintenant, c’est la naissance de campagnes de phishing à la vitesse de l’IA.
