Clicky

Microsoft advierte sobre una operación a gran escala de phishing como servicio

Phishing BulletProofLink

BulletProofLink, permite a los atacantes comprar campañas de phishing y desplegarlas con un mínimo esfuerzo

Microsoft ha informado sobre una operación de phishing-as-a-service (PHaaS) a gran escala que está involucrada en la venta de kits de phishing y plantillas de correo electrónico, así como en la prestación de servicios de alojamiento y automatizados a bajo costo, lo que permite a los atacantes comprar campañas de phishing y desplegarlas con un mínimo esfuerzo.

"Con más de 100 plantillas de phishing disponibles que imitan conocidos marcas y servicios, la operación BulletProofLink es responsable de muchas de las campañas de phishing que afectan a las empresas en la actualidad", dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender en un informe del martes.

"BulletProofLink (también conocido como BulletProftLink o Anthrax por sus operadores en varios sitios web, anuncios y otros materiales promocionales) es utilizado por varios grupos de atacantes en modelos de negocios basados en suscripción única o mensual, creando un flujo de ingresos constante para sus operadores".

BulletProofLink desarrollo

El gigante tecnológico dijo que descubrió la operación durante su investigación de una campaña de phishing de credenciales que utilizó el kit de phishing BulletProofLink en sitios controlados por atacantes o en sitios proporcionados por BulletProofLink como parte de su servicio. La existencia de la operación fue hecha pública por primera vez por OSINT Fans en octubre de 2020.

El Phishing-as-a-service (suplantación de identidad como servicio) se diferencia de los kits de phishing tradicionales en que, a diferencia de estos últimos, que se venden como pagos únicos para obtener acceso a archivos empaquetados que contienen plantillas de phishing de correo electrónico listas para usar, se basan en suscripciones y siguen un modelo de software como servicio, al tiempo que amplían las capacidades para incluir alojamiento integrado de sitios, entrega de correo electrónico y robo de credenciales.

BulletProofLink plantillas

Se cree que ha estado activo desde al menos 2018, se sabe que BulletProofLink opera un portal en línea para publicitar su conjunto de herramientas por hasta $ 800 al mes y permitir que las bandas de delincuentes cibernéticos se registren y paguen por el servicio. Los clientes también pueden beneficiarse de un descuento del 10% si optan por suscribirse a su boletín de noticias, sin mencionar el pago de entre $ 80 y $ 100 por las plantillas de phishing de credenciales que les permiten desviar la información de inicio de sesión ingresada por desprevenidas víctimas al hacer clic en una URL maliciosa en el mensaje de correo electrónico.

Es preocupante que las credenciales robadas no solo se envíen a los atacantes sino también a los operadores de BulletProofLink utilizando una técnica llamada "doble robo" en un modus operandi que refleja los ataques de doble extorsión empleados por las bandas de ransomware.

"Con los kits de phishing, es trivial para los operadores incluir una ubicación secundaria para enviar las credenciales y esperar que el comprador del kit de phishing no altere el código para eliminarlo", dijeron los investigadores. "Esto es cierto para el kit de phishing BulletProofLink, y en los casos en que los atacantes que usaban el servicio recibieron credenciales y registros al final de una semana en lugar de realizar campañas ellos mismos, el operador de PhaaS mantuvo el control de todas las credenciales que revenden".

Jesus_Caceres