다르큘라 PhaaS v3, 웹사이트 복제 가능…피싱 공격 위협 증가

최근 사이버 범죄자들이 피싱 공격을 보다 정교하게 수행할 수 있도록 지원하는 '다르큘라 PhaaS(Phishing-as-a-Service)' 플랫폼의 최신 버전이 등장했다.
다르큘라를 사용하면 누구나 손쉽게 합법적인 브랜드 웹사이트를 복제하고, 맞춤형 피싱 페이지를 제작할 수 있다.
보안 전문가들은 이번 업데이트가 기업 및 개인 사용자들에게 심각한 보안 위협을 초래할 것이라고 경고하고 있다.
다르큘라 PhaaS v3의 주요 특징
브랜드 웹사이트 자동 복제 기능
다르큘라 PhaaS v3는 사용자가 특정 브랜드 웹사이트의 URL을 입력하면, 자동으로 해당 사이트를 복제하는 기능을 제공한다. 이를 통해 공격자는 정교한 피싱 사이트를 몇 분 만에 제작할 수 있다.
- Puppeteer 등의 브라우저 자동화 도구를 사용해 HTML 및 디자인 요소를 자동 추출
- 로그인 페이지, 결제 창 등 특정 요소를 쉽게 변경 가능
- 생성된 피싱 페이지를 관리자 패널에서 손쉽게 운영
맞춤형 피싱 공격 가능
기존 피싱 공격은 특정 패턴을 따르는 경우가 많았지만, 다르큘라 PhaaS v3는 맞춤형 공격이 가능하도록 설계되었다. 사용자는 HTML 요소를 직접 선택해 악성 코드 삽입이 가능하며, 가짜 로그인 창, 결제 폼 추가 등 다양한 변조 작업을 수행할 수 있다.
관리자 대시보드 지원
다르큘라 PhaaS는 일반적인 SaaS(Software-as-a-Service) 서비스처럼 관리자 대시보드를 제공한다. 이를 통해 피싱 공격자들은 다음과 같은 작업을 수행할 수 있다.
- 피싱 캠페인 진행 상황 모니터링
- 탈취한 데이터(이메일, 비밀번호, 신용카드 정보 등) 실시간 확인
- 피싱 사이트 트래픽 및 성공률 분석
다르큘라 PhaaS v3, 도난된 카드 정보 악용
다르큘라 v3는 피싱을 통해 탈취한 신용카드 정보를 디지털화하여 악용하는 기능도 포함하고 있다.
도난 카드 정보 악용 방식
- 피해자의 카드 정보를 가상 카드 이미지로 변환
- 이를 버너폰(일회용 휴대폰)에 저장 후 재판매
- 디지털 지갑에 추가해 온라인 결제 범죄에 활용
이러한 기능은 기존 피싱 공격을 뛰어넘어 금융 사기로 이어질 수 있어 보안 전문가들의 우려를 불러일으키고 있다.
보안업계의 대응
Netcraft의 차단 조치
사이버 보안 기업 Netcraft는 현재까지 다르큘라 관련 95,000개 이상의 피싱 도메인을 탐지 및 차단했다고 밝혔다. 또한, 31,000개 이상의 악성 IP 주소 및 20,000개 이상의 사기 사이트를 폐쇄했지만, 다르큘라의 새로운 버전이 등장하면서 공격 방식이 더욱 정교해질 것으로 예상된다.
다르큘라 v3 출시 일정
2025년 1월 19일, 다르큘라 개발팀은 텔레그램 채널을 통해 "새로운 버전이 테스트 준비를 마쳤다"고 발표했다. 이후 2월 10일에는 "최근 일정 문제로 업데이트가 며칠 연기될 것"이라고 밝혀, 곧 다크웹을 통해 대규모 배포가 이루어질 가능성이 높다.