Cyberprzestępczość BulletProofLink oferuje phishing jako usługę

Helga Smithwrzesień 23, 2021Ostatnio zaktualizowany: wrzesień 23, 2021
148 1 minuta przeczytania

Eksperci Microsoft kłócić się ten BulletProofLink (aka BulletProftLink lub Anthrax), phishing jako usługa (PHaaS) usługi cyberprzestępcze, odpowiada za wiele kampanii phishingowych skierowanych do firm i organizacji w ostatnich latach.

Należy zauważyć że KuloodpornyLink po raz pierwszy odkryto w październiku 2020 za pomocą Wentylatory OSINT badacze, który opublikował serię artykułów (1, 2, 3) opisanie niektórych mechanizmów platformy PHAaS.

Badacze donoszą teraz, że osoby atakujące BulletProofLink zapewniają cyberprzestępcom różne usługi subskrypcyjne, ze sprzedaży zestawów phishingowych (kolekcje stron phishingowych i szablonów naśladujących formularze logowania znanych firm) i szablony e-maili, do usług hostingowych i zautomatyzowanych.

Usługa BulletProofLink

Zasadniczo, klienci po prostu zarejestrują się w BulletProofLink, aby uzyskać $ 800 opłata i operatorzy BulletProofLink robią resztę za nich. Usługi cyberprzestępców obejmują:: skonfigurowanie strony internetowej do obsługi witryny phishingowej, instalowanie samego szablonu phishingowego, konfigurowanie domeny (URL) dla stron phishingowych, wysyłanie e-maili phishingowych do ofiar, zbieranie danych uwierzytelniających uzyskanych podczas tych ataków, a następnie dostarczenie skradzionych loginów i haseł dla “klienci wypłacalni” pod koniec tygodnia.

Jeśli klient chce zmienić swoje szablony phishingowe, Operatorzy BulletProofLink mają osobny sklep, w którym atakujący mogą kupować nowe szablony ataków między $ 80 i $ 100 każdy. Obecnie jest około 120 różne szablony dostępne w sklepie BulletProofLink, a na stronie znajdują się samouczki, które pomagają klientom w korzystaniu z usługi.

Cena BulletProofLink

Microsoft badacze donoszą również, że operatorzy BulletProofLink nie są czyści pod ręką i okradają swoich klientów: serwis zapisuje kopie wszystkich zebranych danych uwierzytelniających, które są następnie sprzedawane w darknecie, przynosząc im dodatkowy zysk.

Microsoft opisuje BulletProofLink jako technicznie złożoną operację, i zauważa, że ​​operatorzy usług często wykorzystują zhakowane witryny do hostowania swoich stron phishingowych. Również, w niektórych przypadkach BulletProofLink narusza rekordy DNS zaatakowanych witryn w celu utworzenia subdomen do hostowania stron phishingowych.

Działanie BulletProofLink

Kiedy badaliśmy ataki phishingowe, znaleźliśmy kampanię, która wykorzystywała dużą liczbę nowo utworzonych i unikalnych subdomen – więcej niż 300,000 na czas.powiedz eksperci, opisujące skalę pracy BulletProofLink.
Microsoft nazywa tę taktykę “niekończące się nadużywanie subdomen.” Umożliwia atakującym tworzenie unikalnych adresów URL dla każdej ofiary phishingu przy użyciu tylko jednej domeny, kupione lub skompromitowane specjalnie w celu przeprowadzenia ataków. Nawet gorzej, unikalne adresy URL stanowią problem w zapobieganiu i wykrywaniu takich ataków, ponieważ rozwiązania bezpieczeństwa zazwyczaj skupiają się na dokładnym dopasowaniu domen i adresów URL.

Przypomnę, że rozmawialiśmy o tym, jak Malware Capoae instaluje wtyczkę backdoora na stronach WordPress.

Tagi
Helga Smithwrzesień 23, 2021Ostatnio zaktualizowany: wrzesień 23, 2021
148 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry