Passa ai contenuti principali

Microsoft avverte di un'operazione di Phishing as a Service su vasta scala

Microsoft ha aperto il coperchio su un'operazione di phishing-as-a-service (PHaaS) su larga scala che è coinvolta nella vendita di kit di phishing e modelli di posta elettronica, nonché nella fornitura di servizi di hosting e automatizzati a basso costo, consentendo così agli attori informatici di acquistare phishing campagne e distribuirle con il minimo sforzo.

"Con oltre 100 modelli di phishing disponibili che imitano marchi e servizi noti, l'operazione BulletProofLink è responsabile di molte delle campagne di phishing che hanno un impatto sulle aziende oggi", ha affermato il team di Microsoft 365 Defender Threat Intelligence in un rapporto di martedì.

"BulletProofLink (indicato anche come BulletProftLink o Anthrax dai suoi operatori in vari siti Web, annunci e altri materiali promozionali) viene utilizzato da più gruppi di aggressori in modelli di business basati su abbonamento una tantum o mensili, creando un flusso di entrate costante per i suoi operatori".

Il gigante della tecnologia ha affermato di aver scoperto l'operazione durante la sua indagine su una campagna di phishing di credenziali che utilizzava il kit di phishing BulletProofLink su siti controllati da aggressori o siti forniti da BulletProofLink come parte del loro servizio. L'esistenza dell'operazione è stata resa pubblica per la prima volta da OSINT Fans nell'ottobre 2020.

Il phishing-as-a-service differisce dai tradizionali kit di phishing in quanto, a differenza di questi ultimi, che vengono venduti come pagamenti una tantum per ottenere l'accesso a pacchetti contenenti modelli di e-mail di phishing pronti per l'uso, sono basati su abbonamento e seguono un modello software-as-a-service, espandendo al tempo stesso le capacità per includere l'hosting del sito integrato, la consegna di e-mail e il furto di credenziali.

Ritenuto attivo almeno dal 2018, BulletProofLink è noto per gestire un portale online per pubblicizzare il proprio set di strumenti fino a $ 800 al mese e consentire alle bande di criminali informatici di registrarsi e pagare per il servizio. I clienti possono anche usufruire di uno sconto del 10% se scelgono di iscriversi alla loro newsletter, per non parlare del pagamento tra $ 80 e $ 100 per modelli di phishing di credenziali che consentono loro di rubare le credenziali inserite da vittime insospettate facendo clic su un URL dannoso nel messaggio di posta elettronica .

Il problema è che le credenziali rubate non vengono inviate solo agli aggressori, ma anche agli operatori BulletProofLink utilizzando una tecnica chiamata "doppio furto" in un modus operandi che rispecchia gli attacchi di doppia estorsione impiegati dalle bande di ransomware.

"Con i kit di phishing, è banale per gli operatori includere una posizione secondaria a cui inviare le credenziali e sperare che l'acquirente del kit di phishing non alteri il codice per rimuoverlo", hanno detto i ricercatori. "Questo è vero per il kit di phishing BulletProofLink, e nei casi in cui gli aggressori che utilizzano il servizio hanno ricevuto credenziali e registri alla fine di una settimana invece di condurre campagne da soli, l'operatore PhaaS ha mantenuto il controllo di tutte le credenziali che rivende".
Tag:

Commenti

Posta un commento

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...
Posta un commento
Continua a leggere »

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...
Posta un commento
Continua a leggere »