Operación de phishing como servicio a gran escala expuesta - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Operación de phishing como servicio a gran escala expuesta

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y esta vez te voy a hablar sobre Operación de phishing como servicio a gran escala expuesta

Operación de phishing como servicio a gran escala expuesta

El descubrimiento de BulletProofLink, que proporciona kits de phishing, plantillas de correo electrónico, alojamiento y otras herramientas, arroja luz sobre cómo los posibles ciberdelincuentes pueden ingresar al negocio.

Microsoft ha descubierto una operación de phishing como servicio (PhaaS) a gran escala, bien organizada y sofisticada. La plataforma llave en mano permite a los usuarios personalizar campañas y desarrollar sus propias tácticas de phishing para que luego puedan usar la plataforma PhaaS para ayudar con los kits de phishing, las plantillas de correo electrónico y los servicios de alojamiento necesarios para lanzar ataques.

Los investigadores de Microsoft descubrieron la operación, comercializada por los delincuentes como BulletProofLink, cuando encontraron un gran volumen de subdominios únicos y recién creados: más de 300.000 en una sola ejecución, según un enviar publicado por Microsoft 365 Defender Threat Intelligence Team.

«Esta investigación nos llevó a la madriguera de un conejo cuando desenterramos una de las operaciones que permitieron la campaña», escribieron los investigadores.

Con más de 100 modelos de phishing disponibles que imitan marcas y servicios reconocidos, incluida la propia Microsoft, Operation BulletProofLink es responsable de muchas de las campañas de phishing que afectan a las empresas en la actualidad, dijeron.

El phishing es una forma común en que los ciberdelincuentes engañan a las personas a través de correos electrónicos de ingeniería social para que proporcionen sus credenciales a cuentas Online que pueden almacenar datos confidenciales. Los phishers utilizan estos correos electrónicos, que a veces engañan a las personas haciéndose pasar por una empresa, aplicación o institución de confianza, para dirigir a las personas a sitios de phishing especialmente diseñados para que puedan ingresar sus credenciales, pensando que lo hacen por una razón legítima.

El phishing es a menudo una droga de acceso a otras actividades delictivas; Los phishers venden credenciales obtenidas a través de campañas de la web oscura y los grupos de ransomware pueden utilizarlas como un punto de entrada a las redes para realizar ataques de ransomware, entre otras actividades nefastas.

BulletProofLink, también conocido como BulletProftLink o Anthrax por sus operadores en varios sitios web, anuncios y otros materiales promocionales, proporciona un punto de partida para que las personas sin recursos importantes accedan al negocio del phishing.

El grupo ha estado activo desde 2018 y mantiene múltiples sitios con seudónimos. El grupo aprovecha servicios como YouTube y Vimeo ofreciendo videos educativos, publicidad y material promocional. Es conocido por vender sus productos en una gran cantidad de foros clandestinos, dijeron los investigadores.

Mientras que anteriormente los delincuentes que querían lanzar estos ataques tenían que crear ellos mismos correos electrónicos de phishing y sitios web de marca, «el panorama del phishing ha desarrollado su propia economía basada en servicios», dijeron los investigadores. Ahora los atacantes pueden simplemente comprar todos los activos y otra infraestructura que necesitan para lanzar ataques de phishing sin invertir mucho tiempo o esfuerzo, dijeron los investigadores.

Hay dos ofertas clave disponibles para los delincuentes que desean ingresar al negocio del phishing: kits de phishing y phishing como servicio.

Los primeros son archivos empaquetados que se venden una sola vez y que vienen con plantillas de phishing de correo electrónico listas para usar diseñadas para evadir la detección y, a menudo, van acompañadas de un portal para acceder a ellos, explicaron los investigadores. Los kits, un ejemplo de los cuales es el kit de phishing MIRCBOOT, permiten a las personas configurar sitios web y comprar los nombres de dominio que necesitan para lanzar campañas de phishing.

La segunda oferta es similar a ransomware-as-a-service (RaaS), que también es una forma popular para que los ciberdelincuentes ingresen al juego sin realizar inversiones significativas, dijeron los investigadores.

PhaaS, el pan y la mantequilla de las operaciones de BulletProofLink, sigue el modelo de software como servicio, dijeron. Los atacantes pagan a un operador para que desarrolle campañas de phishing llave en mano que incluyen todo, desde el desarrollo de páginas de inicio de sesión falsas hasta el alojamiento de sitios web, el análisis y la redistribución de credenciales.

Los investigadores profundizaron en la operación PhaaS de BulletProofLink para descubrir cómo el grupo creó una próspera red de phishers.

Como cualquier proveedor de servicios, el grupo explica en una página «Acerca de nosotros» en su sitio los servicios que brinda, incluida la venta de una «página única de estafa» y un servicio de suscripción mensual alojado para configurar la operación de phishing. De hecho, el grupo alberga varios sitios para atender a sus clientes, incluida una tienda Online donde los clientes pueden registrarse, iniciar sesión y anunciar su servicio alojado para suscripciones mensuales.

El servicio mensual cuesta hasta $ 800, mientras que otros servicios cuestan alrededor de $ 50 dólares por un enlace de alojamiento único, encontraron los investigadores, siendo Bitcoin un método de pago común en el sitio BulletProofLink. La organización también utiliza la táctica típica del proveedor de servicios de ofrecer un descuento de bienvenida del 10% en los pedidos de los clientes cuando se suscriben al boletín.

Un punto interesante sobre el modelo de trabajo PhaaS utilizado por BulletProofLink es que sigue el método de doble extorsión del modelo RaaS, o en este caso, «doble robo», como describen los investigadores.

En el ransomware, este método generalmente implica que los atacantes extraigan y publiquen datos públicamente, además de cifrarlos en dispositivos comprometidos para presionar a las organizaciones a pagar el rescate, anotaron.

Un flujo de trabajo similar también está presente en la economía de credenciales robadas en el modelo PhaaS de BulletProofLink, escribieron los investigadores. El grupo incluye una ubicación secundaria en su kit de phishing para que las credenciales se envíen una vez adquiridas, anotaron.

«En los casos en que los atacantes que utilizan el servicio han recibido credenciales y registros al final de una semana en lugar de realizar campañas directamente, el operador de PhaaS ha retenido el control de todas las credenciales que revende», escribieron los investigadores.

Por lo tanto, tanto en RaaS como en PhaaS, los operadores que proporcionan recursos para facilitar los ataques maximizan la monetización al garantizar que los datos, el acceso y las credenciales robados se utilicen de tantas formas como sea posible. Esto también asegura que las credenciales robadas estén en peligro de terminar en la economía sumergida, anotaron los investigadores.

Ninguna solución de ciberseguridad es viable si no tiene los conceptos básicos. Profesionales de seguridad de Threatpost y Linux en Uptycs para un panel de discusión EN VIVO sobre. ¡Su principal punto de partida será una hoja de ruta de Linux para obtener las bases correctas! y únete al. Junto a Threatpost están Ben Montour y Rishi Kant de Uptycs, quienes lo guiarán a través de las mejores prácticas de seguridad de Linux y responderán sus preguntas más urgentes en tiempo real.

.

No te olvides compartir en tus redes sociales para que tus colegas opinen

??? ? ? ???

Comparte