Компания Microsoft рассказала о крупномасштабной операции «фишинг как услуга» (PHaaS), которая связана с продажей фишинговых комплектов и шаблонов электронной почты, а также предоставлением хостинга и автоматизированных услуг по низкой цене, что позволяет начинающим киберпреступникам покупать фишинговые комплекты для проведения атаки и разворачивать ее с минимальными усилиями.

«Имея более 100 доступных фишинговых шаблонов, имитирующих известные бренды и услуги, сервис BulletProofLink несет ответственность за многие фишинговые кампании, которые сегодня влияют на предприятия», — говорится в отчете группы аналитики угроз Microsoft 365 Defender .

«BulletProofLink (также именуемый операторами BulletProftLink или Anthrax на различных веб-сайтах, в рекламе и других рекламных материалах) используется несколькими группами злоумышленников в бизнес-моделях на основе одноразовой или ежемесячной подписки, обеспечивая стабильный поток доходов для своих операторов».

В Microsoft заявили, что раскрыли эту операцию в ходе расследования кампании по краже учетных данных, в которой использовался фишинговый комплект BulletProofLink. Купили его либо на сайтах, контролируемых злоумышленниками, либо на сайтах, предоставленных BulletProofLink в рамках их службы. О существовании сервиса впервые сообщили фанаты  OSINT Fans  в октябре 2020 года.

«Фишинг как услуга» отличается от традиционных мошеннических наборов для кражи данных. Если последние оплачиваются один раз, и покупатели получают доступ к упакованным файлам, содержащим готовые к использованию шаблоны почтового фишинга, то здесь работает принцип подписки и модель: «программное обеспечение как услуга». И это расширяет возможности злоумышленников, включая встроенный хостинг сайтов, доставку электронной почты и кражу учетных данных.

Предполагается, что BulletProofLink работает как минимум с 2018 года. Как известно, он управляет онлайн-порталом для рекламы своего набора инструментов, который стоит ей $800 в месяц и позволяет бандам киберпреступников регистрироваться и оплачивать услугу. Клиенты также могут воспользоваться 10% скидкой, если они решат подписаться на новостную рассылку. Им также предлагается заплатить от $80 до $100 за шаблоны фишинга учетных данных, которые позволят им сохранять информацию для входа, введенную случайными жертвами, после нажатия вредоносного URL-адреса в письме электронной почты.

К сожалению, украденные учетные данные отправляются не только злоумышленникам, но и операторам BulletProofLink с использованием метода «двойной кражи». Так и происходят атаки с двойным вымогательством, применяемые бандами программ-вымогателей.

«С фишинговыми наборами операторы легко могут указать дополнительное место для отправки учетных данных и надеяться, что покупатель набора для фишинга не изменит код для его удаления, — заявили исследователи. — Это работает для набора фишинга BulletProofLink. А также в тех случаях, когда злоумышленники, использующие службу, получают учетные данные и журналы в конце недели, вместо того, чтобы проводить кампании самостоятельно, тогда оператор PhaaS сохранял контроль над всеми учетными данными, которые они перепродавали».

Перевод статьи «Microsoft Warns of a Wide-Scale Phishing-as-a-Service Operation»