Darcula + ChatGPT = фишинг, который не отличить от оригинала
Теперь даже преступники без опыта могут подделать любой сайт за пару кликов.
Платформа Darcula, используемая киберпреступниками для массовых рассылок фишинговых сообщений, получила обновление с поддержкой генеративного искусственного интеллекта (GenAI). Теперь создание мошеннических страниц стало ещё проще — даже пользователи без технических навыков могут генерировать персонализированные формы и подделывать сайты компаний в считанные минуты.
Darcula появилась на радарах исследователей в марте 2024 года как фишинговый сервис, использующий iMessage и RCS для рассылки фальшивых уведомлений от якобы почтовых служб. Уже тогда набор инструментов позволял мошенникам обманывать пользователей, перенаправляя их по поддельным ссылкам. Но с внедрением GenAI ситуация вышла на новый уровень: теперь злоумышленники могут не только копировать внешние сайты брендов, но и адаптировать формы под нужный язык и регион, не прибегая к программированию.
Отчёт Netcraft подчёркивает , что новые возможности открывают дорогу в мир фишинга даже для тех, кто ранее не обладал необходимыми знаниями. Генерация многоязычных форм и автоматическая настройка под конкретную жертву позволяют проводить атаки быстрее и точнее. Всё это делает Darcula особенно опасной в руках массовых распространителей фишинга, таких как группировка Smishing Triad, активно действующая на глобальном уровне.
Недавнее исследование компании PRODAFT указывает , что автором Darcula является злоумышленник под псевдонимом LARVA-246, а сама платформа продвигается через Telegram-канал с названием xxhcvv / darcula_channel. При этом функционал Darcula пересекается с другими известными фишинговыми конструкторами — Lucid и Lighthouse. Все они считаются частью одного большого китайского киберпреступного кластера, объединённого общей целью — упрощение и масштабирование фишинга.
Кроме создания и клонирования сайтов, система позволяет легко настроить поля форм, перевести их на нужный язык и быстро развернуть фишинговую кампанию. Такая доступность делает Darcula идеальным инструментом для начинающих злоумышленников, что резко увеличивает число потенциальных атак.
С марта 2024 года аналитики уже удалили свыше 25 тысяч страниц, созданных на базе Darcula, заблокировали около 31 тысячи IP-адресов и обнаружили более 90 тысяч доменов, связанных с её активностью. Несмотря на масштабные усилия по нейтрализации, Darcula продолжает развиваться и становится всё более доступной.
Последнее обновление было официально представлено 23 апреля 2025 года и сразу вызвало обеспокоенность у специалистов. Возможность в считанные минуты запускать полноценные фишинговые страницы теперь доступна практически любому — остаётся лишь выбрать цель и нажать на кнопку генерации.