Tội phạm mạng đang sử dụng bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS) không có giấy tờ trước đây có tên là Caffeine để mở rộng quy mô các cuộc tấn công của họ một cách hiệu quả và phân phối các trọng tải bất chính.
Mandiant cho biết trong một báo cáo mới: “Nền tảng này có giao diện trực quan và chi phí tương đối thấp trong khi cung cấp vô số tính năng và công cụ cho các khách hàng tội phạm của mình để điều phối và tự động hóa các yếu tố cốt lõi trong các chiến dịch lừa đảo của họ”.
Một số tính năng cốt lõi được cung cấp bởi nền tảng này bao gồm khả năng tạo bộ công cụ lừa đảo tùy chỉnh, quản lý các trang chuyển hướng, tạo động các URL lưu trữ trọng tải và theo dõi sự thành công của các chiến dịch.
Sự phát triển diễn ra hơn một tháng sau khi Resecurity kết thúc một dịch vụ PhaaS khác có tên là EvilProxy được rao bán trên các diễn đàn tội phạm web đen.
Nhưng không giống như EvilProxy, nhà điều hành của họ được biết là đã thăm dò ý kiến khách hàng tiềm năng trước khi kích hoạt đăng ký, Caffeine đáng chú ý là chạy quy trình đăng ký mở, cho phép bất kỳ ai có địa chỉ email đăng ký dịch vụ một cách hiệu quả.
Cách tiếp cận không hạn chế này không chỉ hạn chế nhu cầu tiếp cận các tác nhân trên các diễn đàn ngầm hoặc yêu cầu sự giới thiệu từ người dùng hiện tại, mà còn cho phép Caffeine nhanh chóng mở rộng tập khách hàng của mình và hạ thấp rào cản gia nhập.
Làm cho nó trở nên nổi bật hơn so với phần còn lại, bộ công cụ PhaaS đáng chú ý là cung cấp các mẫu email lừa đảo để sử dụng chống lại các mục tiêu của Trung Quốc và Nga.
Các nhà nghiên cứu cho biết: “Mặc dù việc sử dụng các nền tảng lừa đảo chắc chắn không phải là một cơ chế mới để tạo điều kiện cho các cuộc tấn công, nhưng điều đáng chú ý là các tùy chọn giàu tính năng như Caffeine, có thể dễ dàng truy cập được đối với tội phạm mạng”.
Các dịch vụ PhaaS thường yêu cầu một nhà điều hành phát triển và triển khai một lượng lớn các chiến dịch lừa đảo, ngay từ các trang đăng nhập giả mạo, lưu trữ trang web, các mẫu trang web và đánh cắp thông tin xác thực.
Sự phát triển của các mối đe dọa lừa đảo dựa trên email thành một nền kinh tế dựa trên dịch vụ có nghĩa là những kẻ thù muốn tiến hành các cuộc tấn công lừa đảo giờ đây có thể chỉ cần mua các tài nguyên và cơ sở hạ tầng đó mà không cần phải tự khắc phục. Caffeine cũng không ngoại lệ.
Nó yêu cầu người dùng tạo tài khoản và mua đăng ký có giá 250 đô la một tháng (Cơ bản), 450 đô la cho ba tháng (Chuyên nghiệp) hoặc 850 đô la cho giấy phép sáu tháng (Doanh nghiệp) để tận dụng nhiều dịch vụ của nó, bao gồm bảng điều khiển quản lý chiến dịch và một bộ công cụ để định cấu hình các cuộc tấn công.
Mục tiêu cuối cùng của chiến dịch lừa đảo là tạo điều kiện cho việc đánh cắp thông tin đăng nhập Microsoft 365 thông qua các trang đăng nhập giả mạo được lưu trữ trên các trang web WordPress hợp pháp, cho thấy rằng các tác nhân Caffeine đang tận dụng các tài khoản quản trị bị xâm phạm, các trang web bị định cấu hình sai hoặc các lỗ hổng trong nền tảng cơ sở hạ tầng web để triển khai bộ dụng cụ.
Mặc dù các trang đăng nhập hiện bị giới hạn đối với các chiêu dụ thu thập thông tin đăng nhập Microsoft 365, công ty tình báo mối đe dọa thuộc sở hữu của Google lưu ý rằng các định dạng trang đăng nhập bổ sung có thể được giới thiệu trong tương lai theo nhu cầu của khách hàng.
Mandiant nói: “Điều quan trọng cần lưu ý là các biện pháp phòng thủ chống lại các cuộc tấn công của PhaaS có thể là trò mèo vờn chuột. “Ngay khi cơ sở hạ tầng của tác nhân đe dọa bị gỡ xuống, cơ sở hạ tầng mới có thể được hình thành.”
