Microsoft ha abierto la tapa a una operación de phishing-as-a-service (PHaaS) a gran escala que está involucrada en la venta de kits de phishing y plantillas de correo electrónico, así como en la prestación de servicios de alojamiento y automatizados a bajo costo, lo que permite a los actores cibernéticos comprar phishing. campañas y desplegarlas con un esfuerzo mínimo.
«Con más de 100 plantillas de phishing disponibles que imitan marcas y servicios conocidos, la operación BulletProofLink es responsable de muchas de las campañas de phishing que afectan a las empresas en la actualidad», dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender en un informe del martes.
«BulletProofLink (también conocido como BulletProftLink o Anthrax por sus operadores en varios sitios web, anuncios y otros materiales promocionales) es utilizado por varios grupos de atacantes en modelos de negocios basados en suscripción única o mensual, lo que crea un flujo de ingresos constante para su operadores «.
El gigante tecnológico dijo que descubrió la operación durante su investigación de una campaña de phishing de credenciales que utilizó el kit de phishing BulletProofLink en sitios controlados por atacantes o en sitios proporcionados por BulletProofLink como parte de su servicio. OSINT Fans hizo pública por primera vez la existencia de la operación en octubre de 2020.
Phishing-as-a-service se diferencia de los kits de phishing tradicionales en que, a diferencia de estos últimos, que se venden como pagos únicos para obtener acceso a archivos empaquetados que contienen plantillas de phishing de correo electrónico listas para usar, se basan en suscripciones y siguen un modelo de software como servicio, al tiempo que amplía las capacidades para incluir alojamiento de sitios integrado, entrega de correo electrónico y robo de credenciales.
Se cree que ha estado activo desde al menos 2018, se sabe que BulletProofLink opera un portal en línea para publicitar su conjunto de herramientas por hasta $ 800 al mes y permitir que las bandas de delincuentes cibernéticos se registren y paguen por el servicio. Los clientes también pueden beneficiarse de un descuento del 10% si optan por suscribirse a su boletín informativo, sin mencionar el pago de entre $ 80 y $ 100 por las plantillas de phishing de credenciales que les permiten desviar la información de inicio de sesión ingresada por víctimas insospechadas al hacer clic en una URL maliciosa en el correo electrónico. mensaje.
Es preocupante que las credenciales robadas no solo se envíen a los atacantes sino también a los operadores de BulletProofLink mediante una técnica llamada «doble robo» en un modus operandi que refleja los ataques de doble extorsión empleados por las bandas de ransomware.
«Con los kits de phishing, es trivial para los operadores incluir una ubicación secundaria para enviar las credenciales y esperar que el comprador del kit de phishing no altere el código para eliminarlo», dijeron los investigadores. «Esto es cierto para el kit de phishing BulletProofLink, y en los casos en que los atacantes que usaban el servicio recibieron credenciales y registros al final de una semana en lugar de realizar campañas ellos mismos, el operador de PhaaS mantuvo el control de todas las credenciales que revenden».
