Passa ai contenuti principali

Microsoft avverte di un'operazione di Phishing as a Service su vasta scala

Microsoft ha aperto il coperchio su un'operazione di phishing-as-a-service (PHaaS) su larga scala che è coinvolta nella vendita di kit di phishing e modelli di posta elettronica, nonché nella fornitura di servizi di hosting e automatizzati a basso costo, consentendo così agli attori informatici di acquistare phishing campagne e distribuirle con il minimo sforzo.

"Con oltre 100 modelli di phishing disponibili che imitano marchi e servizi noti, l'operazione BulletProofLink è responsabile di molte delle campagne di phishing che hanno un impatto sulle aziende oggi", ha affermato il team di Microsoft 365 Defender Threat Intelligence in un rapporto di martedì.

"BulletProofLink (indicato anche come BulletProftLink o Anthrax dai suoi operatori in vari siti Web, annunci e altri materiali promozionali) viene utilizzato da più gruppi di aggressori in modelli di business basati su abbonamento una tantum o mensili, creando un flusso di entrate costante per i suoi operatori".

Il gigante della tecnologia ha affermato di aver scoperto l'operazione durante la sua indagine su una campagna di phishing di credenziali che utilizzava il kit di phishing BulletProofLink su siti controllati da aggressori o siti forniti da BulletProofLink come parte del loro servizio. L'esistenza dell'operazione è stata resa pubblica per la prima volta da OSINT Fans nell'ottobre 2020.

Il phishing-as-a-service differisce dai tradizionali kit di phishing in quanto, a differenza di questi ultimi, che vengono venduti come pagamenti una tantum per ottenere l'accesso a pacchetti contenenti modelli di e-mail di phishing pronti per l'uso, sono basati su abbonamento e seguono un modello software-as-a-service, espandendo al tempo stesso le capacità per includere l'hosting del sito integrato, la consegna di e-mail e il furto di credenziali.

Ritenuto attivo almeno dal 2018, BulletProofLink è noto per gestire un portale online per pubblicizzare il proprio set di strumenti fino a $ 800 al mese e consentire alle bande di criminali informatici di registrarsi e pagare per il servizio. I clienti possono anche usufruire di uno sconto del 10% se scelgono di iscriversi alla loro newsletter, per non parlare del pagamento tra $ 80 e $ 100 per modelli di phishing di credenziali che consentono loro di rubare le credenziali inserite da vittime insospettate facendo clic su un URL dannoso nel messaggio di posta elettronica .

Il problema è che le credenziali rubate non vengono inviate solo agli aggressori, ma anche agli operatori BulletProofLink utilizzando una tecnica chiamata "doppio furto" in un modus operandi che rispecchia gli attacchi di doppia estorsione impiegati dalle bande di ransomware.

"Con i kit di phishing, è banale per gli operatori includere una posizione secondaria a cui inviare le credenziali e sperare che l'acquirente del kit di phishing non alteri il codice per rimuoverlo", hanno detto i ricercatori. "Questo è vero per il kit di phishing BulletProofLink, e nei casi in cui gli aggressori che utilizzano il servizio hanno ricevuto credenziali e registri alla fine di una settimana invece di condurre campagne da soli, l'operatore PhaaS ha mantenuto il controllo di tutte le credenziali che rivende".
Tag:

Commenti

Posta un commento

Popolari

Attenzione al phishing via Booking.com , un caso reale e subdolo

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...
Posta un commento
Continua a leggere »

Dopo le bombe, i byte. La guerra ibrida tra USA, Iran e Israele

Nella notte tra sabato e domenica, le bombe americane hanno colpito i siti nucleari iraniani con una precisione chirurgica che ha fatto rumore nel mondo fisico. Ma mentre le polveri si depositavano a Fordow e Isfahan, un altro fronte si apriva, invisibile agli occhi ma cruciale: il cyberspazio. E lì, non ci sono sirene né detriti, solo silenzi improvvisi nelle connessioni, pacchetti che non arrivano, servizi che collassano. Da quel momento, l’escalation digitale ha cominciato a prendere forma, accelerando quella che è, a tutti gli effetti, una guerra informatica attiva tra Iran, Israele e Stati Uniti. Nei minuti successivi ai bombardamenti, l’Iran ha cominciato a limitare drasticamente l’accesso alla rete. Una mossa difensiva, certo, ma anche preventiva. Staccare i cavi è una strategia antica quanto efficace: nessuna connessione, nessuna infiltrazione, nessuna fuga di dati. È stato documentato un blackout della connettività con punte del 97% in alcune regioni. La linea è semplice: se t...
Posta un commento
Continua a leggere »

Troppo pericolose insieme. Cina e Russia sono davvero alleate?

Secondo un’inchiesta pubblicata dal New York Times, confermata anche dal Financial Times e da fonti ucraine, hacker cinesi avrebbero violato i sistemi informatici russi rubando informazioni militari sensibili, comprese quelle sulla guerra in Ucraina. È un episodio clamoroso che mette in dubbio la tanto sbandierata "partnership senza limiti" tra Vladimir Putin e Xi Jinping. Mentre a livello ufficiale Mosca e Pechino si mostrano unite contro l’Occidente e proclamano intese strategiche, nel cyberspazio sembrano valere altre logiche: quelle del sospetto reciproco e della supremazia informativa. I gruppi cinesi, probabilmente legati all’intelligence di Pechino, hanno preso di mira agenzie statali russe e contractor della difesa, sottraendo piani, analisi e forse perfino vulnerabilità operative. Questa non è una semplice contraddizione, è una crepa. E fa emergere una realtà molto più spietata: l’interesse nazionale viene prima di ogni alleanza ideologica, soprattutto quando si parl...
Posta un commento
Continua a leggere »