Microsoft เปิดเผย BulletProofLink ฟิชชิ่งที่มาในรูปแบบบริการ

Microsoft เปิดเผยองค์กรอาชญากรรม BulletProofLink 'ฟิชชิ่งที่มาในรูปแบบบริการ'

ชุดข้อมูลที่ซับซ้อนนี้จัดสรรให้ทุกอย่างตั้งแต่การออกแบบเทมเพลตไปจนถึงเว็บโฮสติ้งและการประมวลผลข้อมูลประจำตัว

Microsoft ได้เปิดเผยการทำงานภายในขององค์กรอาชญากรบริการฟิชชิ่งที่มีความซับซ้อนสูง (PhaaS) ซึ่งทำหน้าที่เป็นโฮสต์และจัดหาเครื่องมือและบริการเพื่อใช้ในแคมเปญฟิชชิ่งของลูกค้า

BulletProofLink จำติดตามซอฟต์แวร์ที่ถูกต้องตามกฎหมายในรูปแบบของการสมัครใช้บริการทางธุรกิจ (SaaS) แต่มีส่วนร่วมในการพัฒนาแบบ end-to-end และการแจกจ่ายเครื่องมือเพื่อเรียกใช้แคมเปญฟิชชิ่ง ตามที่ Microsoft กล่าว บริการดังกล่าวรวมถึงเครื่องมือสำหรับสร้างหน้าลงชื่อเข้าใช้ปลอม, เว็บโฮสติ้ง และแจกจ่ายข้อมูลรับรองซ้ำ

แม้ว่าชุดฟิชชิ่งมาตรฐานจะมีเทมเพลตอีเมลและเทมเพลตไซต์สำหรับการชำระเงินแบบครั้งเดียว แต่ PhaaS เป็นรูปแบบการสมัครสมาชิกเพื่อขอข้อมูลพื้นฐานทั่วไปสำหรับในการเข้าใช้บริการ โดยลูกค้าสามารถชำระค่าบริการเพิ่มเติมต่างๆ ในรูปแบบโมดูลาร์ รวมถึงการส่งอีเมล, การโฮสต์เว็บไซต์, การขโมยข้อมูลประจำตัว และบริการที่จัดสรรข้อมูลประจำตัวใหม่ที่ถูกขโมยไปให้กับลูกค้าโดยอัตโนมัติ

ลูกค้าของ BulletProofLink จะมีส่วนร่วมในบริการเหล่านี้เพื่อเก็บเกี่ยวข้อมูลประจำตัวของผู้ใช้อื่น แทนที่จะแจกจ่ายมัลแวร์หรือแรนซัมแวร์ ยิ่งไปกว่านั้นผู้ให้บริการยังสามารถเก็บสำเนาข้อมูลประจำตัวที่ลูกค้าทุกคนขโมยผ่านแคมเปญของตน โดยพวกเขาจะนำไปขายต่อในขั้นต่อไป

“เป็นที่น่าสังเกตว่ากลุ่ม PhaaS บางกลุ่มอาจรับเสนอข้อตกลงทั้งหมด ตั้งแต่การสร้างเทมเพลต, โฮสติ้ง และการจัดการโดยรวม ส่งผลทำให้เป็นรูปแบบธุรกิจที่น่าดึงดูดสำหรับลูกค้าของพวกเขา” ทีมข่าวกรองภัยคุกคามของ Microsoft 365 Defender กล่าว

“ผู้ให้บริการฟิชชิ่งเหล่านี้จะโฮสต์ลิงก์และเพจ และผู้โจมตีที่ชำระค่าบริการเหล่านี้จะได้รับข้อมูลประจำตัวที่ถูกขโมยในภายหลัง มันไม่เหมือนกับการดำเนินการของแรนซัมแวร์บางประเภท เพราะผู้โจมตีไม่สามารถเข้าถึงอุปกรณ์ได้โดยตรง แต่จะได้รับข้อมูลประจำตัวที่ถูกขโมยมาที่ยังไม่ได้ตรวจสอบแทน”

นักวิจัยของ Microsoft ได้เจาะลึกลงไปในเทมเพลต, บริการและโครงสร้างราคาที่นำเสนอโดยตัวดำเนินการ BulletProofLink ซึ่งดูเหมือนว่าจะมีการใช้งานมาตั้งแต่ปี 2018 พวกเขายังดูแลเว็บไซต์หลายแห่งภายใต้นามแฝงต่างๆ รวมถึง BulletPoftLink และ Anthrax ควบคู่ไปกับหน้า YouTube และ Vimeo พร้อมโฆษณาเพื่อการสอน รวมถึงเนื้อหาส่งเสริมการขายที่โฮสต์บนฟอรัมภายนอก

การดำเนินการนี้พยายามเลียนแบบพฤติกรรมของธุรกิจที่ถูกกฎหมาย ซึ่งรวมถึงหน้าการลงทะเบียนและลงชื่อเข้าใช้ และบนร้านค้าออนไลน์ ซึ่งแฮ็กเกอร์รายอื่นสามารถใช้อย่างหลังเพื่อโฆษณาบริการของตนเองได้โดยเสียค่าธรรมเนียมการสมัครสมาชิกรายเดือน ยิ่งไปกว่านั้นกลุ่มยังมีส่วนลดต้อนรับ 10% สำหรับลูกค้าที่สมัครรับจดหมายข่าวของ BulletProofLink

ในฐานะที่เป็นองค์ประกอบหลักของธุรกิจ ผู้ให้บริการมีเทมเพลตมากกว่า 100 แบบ โดยที่ลูกค้าสามารถควบคุมองค์ประกอบอื่นๆของการดำเนินการฟิชชิ่งได้ด้วยตนเองหรือใช้บริการ BulletProofLinks แบบเต็มรูปแบบ ตัวอย่างเช่น พวกเขาอาจซื้อเฉพาะเทมเพลตและจัดการขั้นตอนของการรวบรวมรหัสผ่านอย่างอิสระโดยการลงทะเบียนหน้า Landing Page ของตนเอง หรือปล่อยให้ BulletProofLink จัดการให้ทุกอย่าง

บริการรายเดือนเสนอราคาแตกต่างกันไปตั้งแต่ 50 ดอลลาร์ ไปจนถึง 800 ดอลลาร์ โดยส่วนใหญ่จะชำระค่าธรรมเนียมโดยใช้ Bitcoin โดยผู้ให้บริการยังให้บริการสนับสนุนลูกค้าสำหรับลูกค้าใหม่และลูกค้าปัจจุบันทั้งหมด

การดำเนินการนี้สะท้อนถึงปรากฏการณ์ ransomware as a service (RaaS) ซึ่งมีโครงสร้างและกระบวนการเดียวกันหลายอย่างของบริษัทซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และ นี่เป็นความจริงสำหรับวิธีที่องค์กรสามารถสร้างรายได้จากข้อมูลตามที่ Microsoft กล่าว

แนวทางปฏิบัติมาตรฐานสำหรับการโจมตีแรนซัมแวร์นั้นเกี่ยวข้องกับอาชญากรไซเบอร์ที่ขโมยข้อมูลและขู่ว่าจะโพสต์ต่อสาธารณะ ในขณะเดียวกันก็สามารถเข้ารหัสอุปกรณ์ในพื้นที่และเรียกค่าไถ่ได้ ซึ่งนับว่าเป็นวิธีการ "การกรรโชกถึงสองครั้ง"

การดำเนินการ PhaaS เป็นไปตามเวิร์กโฟลว์ที่คล้ายคลึงกันในแง่ของข้อมูลประจำตัวที่ถูกขโมย โดย BulletProofLink จะเก็บบันทึกข้อมูลทั้งหมดที่ขโมยมาซึ่งเป็นส่วนหนึ่งของแคมเปญฟิชชิ่ง นอกเหนือจากค่าธรรมเนียมการสมัครสมาชิกที่พวกเขาได้รับแล้ว พวกเขายังสามารถขายข้อมูลประจำตัวเหล่านี้ให้กับองค์กรอื่นๆในภายหลังด้วยจำนวนเงินเพิ่มขึ้น ทำให้ข้อมูลของเหยื่อจะถูกเปิดเผยถึงสองครั้ง

ที่มา: https://bit.ly/3GzpH3w