Echipa de securitate Microsoft a declarat astăzi că a descoperit o operațiune masivă care oferă servicii de phishing bandelor de criminalitate cibernetică care utilizează o infrastructură asemănătoare de găzduirii pe care producătorul de SO a comparat-o cu modelul Phishing-as-a-Service (PHaaS).

Cunoscut sub numele de BulletProofLink, BulletProftLink sau Anthrax, serviciul este publicat în prezent pe forumurile subterane de criminalitate informatică.

Serviciul este o evoluție a „seturilor de phishing”, care sunt colecții de pagini și șabloane de phishing care imită formularele de autentificare ale companiilor cunoscute.

Clienții se înregistrează pe portalul BulletProofLink plătind o taxă de 800 USD, iar operatorii BulletProofLink se ocupă de orice altceva pentru ei. Aceste servicii includ configurarea unei pagini web pentru a găzdui site-ul de phishing, instalarea șablonului de phishing în sine, configurarea domeniului (URL-uri) pentru site-urile de phishing, trimiterea e-mailurilor reale de phishing către victimele dorite, colectarea acreditării de la atacuri și apoi livrarea autentificărilor furate către „clienții plătitori” la sfârșitul săptămânii.

Dacă grupurile criminale doresc să-și modifice șabloanele de phishing, banda BulletProofLink rulează, de asemenea, un magazin separat în care actorii de amenințare pot cumpăra șabloane noi pentru a le folosi în atacurile lor, cu prețuri cuprinse între 80 și 100 USD pentru fiecare șablon nou.

Aproximativ 120 de șabloane de phishing sunt disponibile în magazinul BulletProofLink, așa cum se vede astăzi de The Record. În plus, site-ul găzduiește, de asemenea, tutoriale pentru a ajuta clienții să utilizeze serviciul.

Cercetătorii Microsoft au declarat că au descoperit că serviciul a furat și de la propriii săi clienți, păstrând copii ale tuturor acreditărilor colectate, pe care se crede că grupul le va monetiza ulterior, prin vânzarea acreditărilor pe piețele subterane.

Microsoft a descris întreaga operațiune ca fiind avansată din punct de vedere tehnic, grupul utilizând adesea site-uri piratate pentru a-și găzdui paginile de phishing.

În unele scenarii, banda BulletProofLink a fost observată compromițând înregistrările DNS ale site-urilor pirate pentru a genera subdomenii pe site-uri de încredere pentru a găzdui pagini de phishing.

„În cercetarea atacurilor de phishing, am dat peste o campanie care a folosit un volum destul de mare de subdomenii nou create și unice - peste 300.000 într-o singură rundă”, a spus astăzi Microsoft, punând în perspectivă scara imensă a BulletProofLink PHaaS.