Microsoft открыла крышку для крупномасштабной операции «фишинг как услуга» (PHaaS), которая связана с продажей фишинговых комплектов и шаблонов электронной почты, а также предоставлением хостинга и автоматизированных услуг по низкой цене, что позволяет злоумышленникам покупать фишинг-кампании и развернуть их с минимальными усилиями.
«Имея более 100 доступных фишинговых шаблонов, имитирующих известные бренды и услуги, операция BulletProofLink отвечает за многие фишинговые кампании, которые влияют на предприятия сегодня», — говорится в отчете группы аналитики угроз Microsoft 365 Defender .
BulletProofLink (также именуемый операторами BulletProftLink или Anthrax на различных веб-сайтах, в рекламе и других рекламных материалах) используется несколькими группами злоумышленников в бизнес-моделях на основе одноразовой или ежемесячной подписки, обеспечивая стабильный поток доходов для своих операторы.
Технический гигант заявил, что раскрыл эту операцию в ходе расследования кампании фишинга учетных данных, в которой использовался фишинговый комплект BulletProofLink либо на сайтах, контролируемых злоумышленниками, либо на сайтах, предоставленных BulletProofLink в рамках их службы. О существовании операции впервые сообщили фанаты OSINT в октябре 2020 года.
Фишинг как услуга отличается от традиционных наборов для фишинга тем, что в отличие от последних, которые продаются в виде разовых платежей для получения доступа к упакованным файлам, содержащим готовые к использованию шаблоны почтового фишинга, они основаны на подписке и соответствуют модель «программное обеспечение как услуга», а также расширяет возможности, включая встроенный хостинг сайтов, доставку электронной почты и кражу учетных данных.
Предполагается, что BulletProofLink работает по крайней мере с 2018 года, и, как известно, управляет онлайн-порталом для рекламы своего набора инструментов за 800 долларов в месяц и позволяет бандам киберпреступников регистрироваться и оплачивать услугу. Клиенты также могут воспользоваться 10% скидкой, если они решат подписаться на свою новостную рассылку, не говоря уже о плате от 80 до 100 долларов за шаблоны фишинга учетных данных, которые позволяют им украсть учетные данные, введенные неожиданными жертвами при нажатии вредоносного URL-адреса в сообщении электронной почты.
К сожалению, украденные учетные данные отправляются не только злоумышленникам, но и операторам BulletProofLink с использованием метода, называемого «двойная кража», в методе работы, который отражает атаки с двойным вымогательством, применяемые бандами программ-вымогателей.
«С фишинговыми наборами операторы легко могут указать дополнительное место для отправки учетных данных и надеяться, что покупатель набора для фишинга не изменит код для его удаления», — заявили исследователи. «Это верно для набора фишинга BulletProofLink, и в случаях, когда злоумышленники, использующие службу, получали учетные данные и журналы в конце недели вместо того, чтобы проводить кампании самостоятельно, оператор PhaaS сохранял контроль над всеми учетными данными, которые они перепродавали».
По материалам https://thehackernews.com/
.jpg)