This post is also available in: Português Español
Enquanto investigava ataques de phishing recentes, a Microsoft identificou a BulletProofLink, uma operação de phishing-as-a-service (PhaaS) em grande escala, que é a força motriz por trás de boa parte das campanhas de phishing e têm como alvo muitas organizações.
O grupo por trás do BulletProofLink (que também é conhecido como BulletProftLink e Anthrax) fornece aos cibercriminosos vários serviços, que vão desde a venda de kits de phishing e modelos de e-mails até o fornecimento de hospedagem e serviços automatizados sob um único pagamento ou modelo de negócios baseado em assinatura mensal.
Segundo o time de inteligência do Microsoft 365, quando eles pesquisaram ataques de phishing, acabaram se deparando com uma campanha que usou um elevado volume de subdomínios recém criados.
São mais de 100 modelos de phishing disponíveis, que imitam marcas e serviços conhecidos. A operação BulletProofLink é responsável por muitas das campanhas de phishing que impactam as empresas hoje, disse a Microsoft.
O BulletProofLink foi identificado pela primeira vez em outubro de 2020, por OSINT Fans, que publicou uma série (parte 1, parte 2, parte 3) expondo alguns dos trabalhos internos desta operação de PhaaS.
O OSINT revelou que o grupo do BulletProftLink no ICQ teve 1.618 membros somente no ano passado. Todos eram potenciais compradores de senhas roubadas e dos serviços de phishing do BulletProftLink.
Imagem/Reprodução: Microsoft
Roubo duplo
As campanhas de phishing em grande escala habilitadas pelo BulletProofLink também usam uma espécie de “roubo duplo”, um método destinado a aumentar os lucros do ator da ameaça, de maneira muito semelhante à extorsão dupla usada por grupos de ransomware.
Neste caso, o duplo roubo ao qual a Microsoft se refere é uma tática em que as credenciais roubadas em ataques de phishing também são enviadas a um servidor secundário controlado por operadores de PhaaS, caso os kits de phishing utilizados na campanha usarem sua configuração padrão.
Ou seja, se os cibercriminosos, que usam seus serviços, não personalizarem os kits de phishing, para exfiltrar dados roubados, apenas para seus próprios servidores, as credenciais coletadas pelos clientes do BulletProofLink também são enviadas para a operadora de PhaaS
A Microsoft diz que, tanto no ransomware quanto no phishing, os operadores que fornecem recursos para facilitar os ataques maximizam a monetização, garantindo que dados, acesso e credenciais roubados sejam utilizados de todas as maneiras possíveis.
Isso acontece no kit de phishing do BulletProofLink. E, se os invasores que fazem uso do serviço receberem credenciais e logs no final de uma semana, em vez de conduzirem as próprias campanhas, o operador do PhaaS mantém o controle de todas as credenciais que revende.
É com essa tática que os operadores de PhaaS aumentam seus lucros sem muito esforço, motivando-os ainda mais e financiando sua operação contínua.
Cadeia de ataques de phishing de campanhas habilitadas para BulletProofLink. Imagem/Reprodução: Microsoft
Abuso de subdomínio infinito
O grupo também faz uso de uma técnica que a Microsoft chama de “abuso de subdomínio infinito”, tornando possível aos invasores atribuir URLs exclusivos para cada destinatário de phishing, usando apenas um único domínio, comprometido ou comprado antes dos ataques.
Essa é uma tática utilizada quando os cibercriminosos podem comprometer o DNS de um site ou quando os sites comprometidos são configurados usando um DNS que permite subdomínios ilimitados.
Esse abuso de subdomínios infinitos é uma tática cada vez mais popular, visto que minimiza o esforço investido em uma campanha de phishing enquanto maximiza o número de domínios exclusivos disponíveis, prontos para serem implantados a qualquer momento.
Além disso, a Microsoft afirma que a criação de URLs exclusivos representa um desafio para os métodos de mitigação e detecção que dependem exclusivamente da correspondência exata para domínios e URLs.
Fonte: Microsoft.
This post is also available in: Português Español
