Nowa platforma Phishing-as-a-service i ataki na Microsoft 365

Phishing-as-a-service (PhaaS) to stosunkowo nowy rodzaj działalności cyberprzestępczej, a w jej ramach przestępcy oferują płatny dostęp do usługi phishingu. Model PhaaS staje się coraz bardziej wyrafinowany i stanowi coraz większy problem, z którego firmy powinny zdawać sobie sprawę. O innej platformie tego typu pisaliśmy również tutaj .

Analitycy z zespołu Mandiant Managed Defense wykryli aktywność cyberprzestępców korzystających z platformy Phishing-as-a-service o nazwie Caffeine. Usługa ta ułatwia przeprowadzanie ataków, oferując otwarty proces rejestracji, umożliwiając każdemu rozpoczęcie własnej kampanii phishingowej.

Niedawno odkryta platforma charakteryzuje się łatwością w obsłudze, intuicyjnym interfejsem, a w stosunkowo niskiej cenie zapewnia pełną gamę narzędzi i funkcji umożliwiających organizację i automatyzację kampanii phishingowych. Cechą, która wyróżnia Caffeine spośród innych platform PhaaS przebadanych przez Mandiant, jest właśnie uproszczony proces rejestracji. Korzystanie z usługi nie wymaga zaproszenia, ani komunikacji przez żadne specjalne kanały (np. podziemne forma, czy szyfrowane wiadomości). Dzięki temu prawie każdy posiadacz adresu e-mail może uruchomić własną kampanię. Caffeine zapewnia również szablony wiadomości phishingowych przeznaczonych do użycia na rynku chińskim i rosyjskim. Jest to rzadko spotykana cecha, ponieważ tego typu platformy zazwyczaj są skupione na zachodnich celach.

Po założeniu konta operator otrzymuje natychmiastowy dostęp do sklepu Caffeine. Można znaleźć tam narzędzia do tworzenia kampanii oraz panel zarządzający aktywnymi kampaniami. Ceny licencji wahają się od 250 dolarów za subskrypcję miesięczną, do 850 dolarów za subskrypcję na okres sześciu miesięcy. W zależności od pakietu dostępne są również różne funkcje. Średnia cena dostępu do platformy PhaaS waha się w okolicach 50-80 dolarów, zatem koszt dostępu do Caffeine jest kilkukrotnie wyższy. Twórcy najprawdopodobniej próbują rekompensować tę różnicę dostępnością suportu dla klienta oraz bogatych funkcji antywykrywania i antyanalizy.

Jedna z analizowanych przez Mandiant kampanii phishingowych, opierająca się na zestawie narzędzi Caffeine, miała na celu kradzież danych uwierzytelniających Microsoft 365. Strony docelowe hostowano w legalnych, wcześniej zhakowanych witrynach WordPress. Na chwilę obecną badacze zauważyli, że głównym celem kampanii są wyłudzenia właśnie tego typu danych. Eksperci są jednak przekonani, że w przyszłości cyberprzestępcy rozszerzą spektrum działania platformy, zgodnie z wymaganiami klientów.

Wdrażanie środków obronnych przeciwko atakom PhaaS może przypominać zabawę w kotka i myszkę. Podczas gdy jedna przestępcza infrastruktura zostaje zlikwidowana, uruchamia się kolejna. Najważniejsze zalecenia dla organizacji, które przedstawił w swoim raporcie Mandiant, obejmują:

- Okresową ocenę infrastruktury sieciowej,

- Wykorzystywanie analizy behawioralnej do kontroli logów,

- Implementację uwierzytelniania dwuskładnikowego.

Źródło: Mandiant.com