Операция «фишинг как услуга» использует двойное воровство для увеличения прибыли

29
Данные итальянских знаменитостей раскрыты в результате атаки программ-вымогателей на SIAE

Microsoft заявляет, что BulletProofLink, крупномасштабная операция «фишинг как услуга» (PhaaS), которую она заметила при расследовании недавних фишинговых атак, является движущей силой многих фишинговых кампаний, которые в последнее время были нацелены на многие корпоративные организации.

Злоумышленник, стоящий за BulletProofLink (также известный как BulletProftLink и Anthrax), предоставляет киберпреступникам различные услуги, от продажи наборов для фишинга и шаблонов электронной почты до предоставления хостинга и автоматизированных услуг в рамках бизнес-модели на основе единой оплаты или ежемесячной подписки.

«При исследовании фишинговых атак мы натолкнулись на кампанию, в которой использовалось довольно большое количество вновь созданных и уникальных поддоменов — более 300 000 за один запуск», — сообщила группа аналитики угроз Microsoft 365 Defender.

«Имея более 100 доступных фишинговых шаблонов, имитирующих известные бренды и услуги, BulletProofLink отвечает за многие фишинговые кампании, которые сегодня влияют на предприятия».

Злоумышленник BulletProofLink был впервые обнаружен в октябре 2020 года фанатами OSINT, которые опубликовали серию из трех частей, раскрывающую некоторые внутренние механизмы этой операции PhaaS.

Как они сообщили, в прошлом году в групповом чате Bulletproftlink ICQ было 1618 участников, «все потенциальные покупатели украденных паролей и фишинговых сервисов Bulletproftlink».

Двойное воровство для увеличения прибыли

Следует отметить, что в крупномасштабных фишинговых кампаниях, проводимых с помощью BulletProofLink, также используется «двойное воровство» — метод, предназначенный для увеличения прибыли злоумышленника, во многом аналогичный двойному вымогательству, используемому бандами вымогателей.

Двойное воровство, о котором говорит Microsoft, — это тактика, при которой учетные данные, украденные при фишинговых атаках, также отправляются на вторичный сервер, контролируемый операторами PhaaS, если фиш-комплекты, используемые в кампании, используют их конфигурацию по умолчанию.

Таким образом, учетные данные, собранные клиентами BulletProofLink, также отправляются оператору фишинга как услуги, если киберпреступники, использующие их сервисы, не будут настраивать фишинговые комплекты для передачи украденных данных только на свои собственные серверы.

«Как в случае программ-вымогателей, так и в случае фишинга операторы, предоставляющие ресурсы для облегчения атак, максимизируют монетизацию, гарантируя, что украденные данные, доступ и учетные данные используются как можно большим количеством способов», — добавила Microsoft.

«Это верно для набора фишинга BulletProofLink, и в случаях, когда злоумышленники, использующие службу, получали учетные данные и журналы в конце недели, вместо того, чтобы проводить кампании самостоятельно, оператор PhaaS сохранял контроль над всеми учетными данными, которые они перепродавали».

Используя эту тактику, операторы PhaaS без особых усилий увеличивают свою прибыль, дополнительно мотивируя их и финансируя их текущую деятельность.

Бесконечное злоупотребление поддоменом

Злоумышленник также наблюдал использование техники, которую Microsoft называет «бесконечным злоупотреблением субдоменами», что позволяет злоумышленникам назначать уникальные URL-адреса для каждого получателя фишинга, используя только один домен, скомпрометированный или купленный до атак.

Эта тактика используется, когда злоумышленники могут взломать DNS веб-сайта или когда скомпрометированные сайты настроены с использованием DNS, допускающего неограниченное количество поддоменов с подстановочными знаками.

Бесконечное злоупотребление субдоменами становится все более популярной тактикой, поскольку она сводит к минимуму усилия, затрачиваемые на фишинговую кампанию, при максимальном увеличении количества доступных уникальных доменов, готовых к развертыванию в любой момент.

Более того, «создание уникальных URL-адресов создает проблему для методов предотвращения и обнаружения, которые полагаются исключительно на точное соответствие для доменов и URL-адресов».

«На момент написания этого отчета BulletProofLink продолжает проводить активные фишинговые кампании с большими объемами перенаправлений на их ссылки для обработки паролей от законных провайдеров веб-хостинга», — заключила Microsoft.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here