Siber suçlular, daha önce belgelenmemiş bir hizmet olarak kimlik avı (PhaaS) araç seti kullanıyor. Kafein saldırılarını etkili bir şekilde büyütmek ve zararlı yükleri dağıtmak için.
Mandiant yeni bir raporda, “Bu platformun sezgisel bir arayüzü var ve nispeten düşük bir maliyetle geliyor ve suçlu müşterilerine kimlik avı kampanyalarının temel unsurlarını düzenlemeleri ve otomatikleştirmeleri için çok sayıda özellik ve araç sağlıyor” dedi.
Platform tarafından sunulan temel özelliklerden bazıları, özelleştirilmiş kimlik avı kitleri oluşturma, yönlendirme sayfalarını yönetme, yükleri barındıran dinamik olarak URL’ler oluşturma ve kampanyaların başarısını izleme becerisini içerir.
Geliştirme, Resecurity’nin karanlık web suç forumlarında satışa sunulan EvilProxy adlı başka bir PhaaS hizmetini tamamlamasından bir aydan biraz fazla bir süre sonra geldi.
Ancak, operatörlerin abonelikleri etkinleştirmeden önce potansiyel müşterileri araştırdığı bilinen EvilProxy’nin aksine, Caffeine, e-posta adresi olan herkesin hizmete kaydolmasını etkin bir şekilde sağlayan açık bir kayıt süreci yürütmesiyle dikkat çekiyor.
Bu kısıtlamasız yaklaşım, yalnızca yer altı forumlarındaki aktörlere yaklaşma ihtiyacını veya mevcut bir kullanıcıdan yönlendirme gerektirme ihtiyacını ortadan kaldırmakla kalmaz, aynı zamanda Kafein’in müşteri kitlesini hızla genişletmesine ve giriş engelini düşürmesine olanak tanır.
PhaaS araç takımı, diğerlerinden farklı olarak Çin ve Rusya hedeflerine karşı kullanılmak üzere kimlik avı e-posta şablonları sunması açısından dikkat çekicidir.
Araştırmacılar, “Kimlik avı platformlarının kullanımı, saldırıları kolaylaştırmak için kesinlikle yeni bir mekanizma olmasa da, Kafein gibi bu tür zengin özelliklere sahip seçeneklere siber suçlular tarafından kolayca erişilebildiğini belirtmekte fayda var” dedi.
PhaaS hizmetleri genellikle bir operatörün, doğrudan sahte oturum açma sayfalarından, web sitesi barındırmadan, site şablonlarından ve kimlik bilgisi hırsızlığından kimlik avı kampanyalarının önemli bir bölümünü geliştirmesini ve dağıtmasını gerektirir.
E-posta tabanlı kimlik avı tehditlerinin hizmet tabanlı bir ekonomiye dönüşmesi, kimlik avı saldırıları gerçekleştirmeyi amaçlayan düşmanların artık bu tür kaynakları ve altyapıyı kendileri üzerinde çalışmak zorunda kalmadan satın alabilecekleri anlamına geliyor. Kafein bir istisna değildir.
Kullanıcıların bir hesap oluşturmasını ve aylık 250 ABD Doları (Temel), üç aylık (Profesyonel) 450 ABD Doları veya altı aylık bir lisans (Kurumsal) için 850 ABD Doları tutarında bir abonelik satın almasını gerektirir. kampanya yönetimi panosu ve saldırıları yapılandırmak için araçlar.
Kimlik avı kampanyasının nihai amacı, Kafein aktörlerinin güvenliği ihlal edilmiş yönetici hesaplarından, yanlış yapılandırılmış web sitelerinden veya web altyapısı platformlarındaki kusurlardan yararlandığını gösteren meşru WordPress sitelerinde barındırılan sahte oturum açma sayfaları aracılığıyla Microsoft 365 kimlik bilgilerinin çalınmasını kolaylaştırmaktır. kitler.
Giriş sayfaları şu anda Microsoft 365 kimlik bilgisi toplama cazibeleriyle sınırlı olsa da, Google’ın sahip olduğu tehdit istihbarat şirketi, müşteri taleplerine göre gelecekte ek giriş sayfası biçimlerinin sunulabileceğini kaydetti.
Mandiant, “PhaaS saldırılarına karşı savunma önlemlerinin bir kedi ve fare oyunu olabileceğini akılda tutmak da önemlidir.” Dedi. “Tehdit aktörü altyapısı kaldırılır kaldırılmaz, yeni altyapı harekete geçirilebilir.”