Passa ai contenuti principali

Microsoft avverte di un'operazione di Phishing as a Service su vasta scala

Microsoft ha aperto il coperchio su un'operazione di phishing-as-a-service (PHaaS) su larga scala che è coinvolta nella vendita di kit di phishing e modelli di posta elettronica, nonché nella fornitura di servizi di hosting e automatizzati a basso costo, consentendo così agli attori informatici di acquistare phishing campagne e distribuirle con il minimo sforzo.

"Con oltre 100 modelli di phishing disponibili che imitano marchi e servizi noti, l'operazione BulletProofLink è responsabile di molte delle campagne di phishing che hanno un impatto sulle aziende oggi", ha affermato il team di Microsoft 365 Defender Threat Intelligence in un rapporto di martedì.

"BulletProofLink (indicato anche come BulletProftLink o Anthrax dai suoi operatori in vari siti Web, annunci e altri materiali promozionali) viene utilizzato da più gruppi di aggressori in modelli di business basati su abbonamento una tantum o mensili, creando un flusso di entrate costante per i suoi operatori".

Il gigante della tecnologia ha affermato di aver scoperto l'operazione durante la sua indagine su una campagna di phishing di credenziali che utilizzava il kit di phishing BulletProofLink su siti controllati da aggressori o siti forniti da BulletProofLink come parte del loro servizio. L'esistenza dell'operazione è stata resa pubblica per la prima volta da OSINT Fans nell'ottobre 2020.

Il phishing-as-a-service differisce dai tradizionali kit di phishing in quanto, a differenza di questi ultimi, che vengono venduti come pagamenti una tantum per ottenere l'accesso a pacchetti contenenti modelli di e-mail di phishing pronti per l'uso, sono basati su abbonamento e seguono un modello software-as-a-service, espandendo al tempo stesso le capacità per includere l'hosting del sito integrato, la consegna di e-mail e il furto di credenziali.

Ritenuto attivo almeno dal 2018, BulletProofLink è noto per gestire un portale online per pubblicizzare il proprio set di strumenti fino a $ 800 al mese e consentire alle bande di criminali informatici di registrarsi e pagare per il servizio. I clienti possono anche usufruire di uno sconto del 10% se scelgono di iscriversi alla loro newsletter, per non parlare del pagamento tra $ 80 e $ 100 per modelli di phishing di credenziali che consentono loro di rubare le credenziali inserite da vittime insospettate facendo clic su un URL dannoso nel messaggio di posta elettronica .

Il problema è che le credenziali rubate non vengono inviate solo agli aggressori, ma anche agli operatori BulletProofLink utilizzando una tecnica chiamata "doppio furto" in un modus operandi che rispecchia gli attacchi di doppia estorsione impiegati dalle bande di ransomware.

"Con i kit di phishing, è banale per gli operatori includere una posizione secondaria a cui inviare le credenziali e sperare che l'acquirente del kit di phishing non alteri il codice per rimuoverlo", hanno detto i ricercatori. "Questo è vero per il kit di phishing BulletProofLink, e nei casi in cui gli aggressori che utilizzano il servizio hanno ricevuto credenziali e registri alla fine di una settimana invece di condurre campagne da soli, l'operatore PhaaS ha mantenuto il controllo di tutte le credenziali che rivende".
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »