Компания Microsoft раскрыла информацию об актуальном криминальном предложении под названием «BulletProofLink» по продаже фишинговых услуг, в ходе которого продаются фишинговые наборы и шаблоны электронной почты, а также предоставляется хостинг и автоматизированные услуги по низким ценам, что позволяет злоумышленникам разворачивать фишинговые кампании с минимальными усилиями.
«Имея в своем распоряжении более 100 доступных фишинговых шаблонов, имитирующих известные бренды и услуги, сервис BulletProofLink ответственен за многие проходящие сейчас фишинговые кампании» - сообщается в отчете Microsoft 365 Defender Threat Intelligence Team.
«BulletProofLink (также известный как BulletProftLink или Anthrax на различных веб-сайтах, в рекламе и других рекламных материалах) используется несколькими группами злоумышленников разово или по ежемесячной подписке, создавая постоянный поток доходов для своих операторов».
Технологический гигант заявил, что обнаружил сервис в ходе расследования кампании по фишингу учетных данных, в которой использовался фишинговый набор BulletProofLink либо на сайтах, контролируемых злоумышленниками, либо на сайтах, предоставляемых BulletProofLink в качестве части их сервиса. О существовании операции впервые стало известно OSINT Fans в октябре 2020 года.
Фишинг как услуга отличается от традиционных фишинговых наборов тем, что в отличие от последних - которые продаются разово в виде доступа к пакетным файлам, содержащим готовые к использованию шаблоны фишинга электронной почты - эти наборы основаны на подписке и работают по модели «программное обеспечение как услуга», при этом расширяя возможности, включая встроенный хостинг сайтов, доставку электронной почты и кражу учетных данных.
Считается, что BulletProofLink действует по меньшей мере с 2018 года, и известно, что сервис использует онлайн-портал для рекламы своего набора инструментов по цене до 800 долларов в месяц и позволяет киберпреступным группировкам регистрироваться и оплачивать услуги. Клиенты также могут воспользоваться 10% скидкой, если подпишутся на их рассылку, не говоря уже о том, что они платят от $80 до $100 за шаблоны фишинга учетных данных, которые позволяют им красть учетные данные, введенные ничего не подозревающими жертвами после нажатия на вредоносный URL в сообщении электронной почты.
Очень важно, что краденные учетные данные отправляются не только злоумышленникам, но и операторам BulletProofLink с помощью техники, называемой «двойной кражей», которая является зеркальным отражением атак «двойного вымогательства», используемых шифровальщиками.
«В фишинговых наборах операторы могут просто включить вторичное место для отправки учетных данных и надеяться, что покупатель фишингового набора не изменит код, чтобы удалить его» - говорят исследователи. «Это верно для фишингового набора BulletProofLink, и в случаях, когда использующие сервис злоумышленники получали учетные данные и логи в конце недели вместо того, чтобы проводить кампании самостоятельно, операторы набора сохраняли контроль над всеми учетными данными, которые их «клиент» перепродавал».
Источник: https://is-systems.org