Youtube Facebook-f Linkedin-in Instagram
CONTACTAME
Ciberseguridad
_ _ imagenti_ 0 Comments

Esta operación de phishing como servicio es responsable de muchos ataques contra empresas, dice Microsoft.

Una operación de phishing se esconde a la vista y convierte el robo de credenciales en un producto de consumo.

Microsoft está arrojando luz sobre una operación de phishing como servicio que vende páginas de inicio de sesión falsas para servicios en la nube como OneDrive que ayudan a los ciberdelincuentes no técnicos a robar contraseñas y nombres de usuario de usuarios comerciales. 

Los kits de phishing no son nada nuevo, pero este servicio de phishing como servicio llamó la atención de los equipos de seguridad de Microsoft porque rebaja aún más el listón del phishing de calidad. 

Esa empresa, llamada BulletProofLink y algunos otros nombres, proporciona plantillas de sitios web y de correo electrónico como lo hacen los kits de phishing, pero también ofrece entrega de correo electrónico, servicios de alojamiento y robo de credenciales. También afirma proporcionar enlaces y registros ‘completamente no detectados’ (FUD) y está disponible para su compra como suscripción semanal, quincenal, mensual o anual. 

Como describe Microsoft, los proveedores de servicios de phishing son un eslabón en la cadena que puede ayudar a las bandas de ransomware a descargar el ransomware de cifrado de archivos en los objetivos, principalmente al proporcionar contraseñas a los atacantes que pueden probarlas en redes comprometidas. Si el comprador de ransomware tiene suerte, las credenciales pueden incluir contraseñas para cuentas de administrador de alto valor, lo que permite un mayor movimiento dentro de una red comprometida. 

“Estos proveedores de servicios de phishing [FUD] alojan los enlaces y las páginas, y los atacantes que pagan por estos servicios simplemente reciben las credenciales robadas más adelante. A diferencia de ciertas operaciones de ransomware, los atacantes no obtienen acceso a los dispositivos directamente y, en su lugar, simplemente reciben credenciales robadas no probadas. “, señala el equipo de inteligencia de amenazas de Microsoft 365 Defender en una entrada de blog .   

Microsoft está preocupado por empresas como estas porque ofrecen docenas de plantillas para las páginas de inicio de sesión de servicios web populares y permiten que cualquier persona con un presupuesto pequeño se adentre en el camino del robo o la extorsión. Actualmente ofrece páginas de “estafa de inicio de sesión” para Microsoft OneDrive, LinkedIn, Adobe, Alibaba, American Express, AOL, AT&T, Dropbox y Google Docs. 

También le preocupa el “doble robo”, en el que el proveedor de servicios de phishing captura las credenciales en nombre de un cliente y luego las vende a otros clientes.

BulletProofLink se comercializa abiertamente en la web y en foros clandestinos, y también se conoce como BulletProftLink o Anthrax. Incluso ha publicado videos explicativos en YouTube y Vimeo para ayudar a los clientes a usar sus herramientas de fraude. 

Microsoft publicó su investigación sobre esta operación para ayudar a los clientes a perfeccionar las reglas de filtrado de correo electrónico y adoptar las tecnologías de seguridad que ofrece. Si bien los kits de phishing se venden una vez en un archivo ZIP con plantillas de phishing para configurar una página de inicio de sesión o correos electrónicos falsos, el phishing como servicio incluye el paquete completo. 

La compañía llamó la atención de Microsoft mientras investigaba una campaña de phishing que utilizaba los servicios BulletProofLink. La campaña utilizó la friolera de 300.000 subdominios con una técnica que Microsoft llama “abuso infinito de subdominios”, que es cuando un atacante ha comprometido el servidor del sistema de nombres de dominio (DNS) de un sitio web o cuando un sitio comprometido está configurado con un DNS que permite subdominios comodín.

Estos subdominios “permiten a los atacantes usar una URL única para cada destinatario mientras solo tienen que comprar o comprometer un dominio durante semanas”, dice Microsoft. Son útiles antes de que el atacante pueda simplemente comprometer el DNS de un sitio y no molestarse en piratear el sitio en sí. También permite a las empresas de phishing crear un montón de URL únicas que son difíciles de detectar. 

Los modelos de proveedores de servicios de ransomware también influyen en la forma en que operan las empresas de phishing. Una técnica de ransomware notable es robar datos antes de cifrarlos y luego venderlos o utilizarlos como palanca durante los intentos de extorsión. 

“Hemos observado este mismo flujo de trabajo en la economía de las credenciales robadas en el phishing como servicio”, dice Microsoft. 

“Con los kits de phishing, es trivial para los operadores incluir una ubicación secundaria a la que se enviarán las credenciales y esperar que el comprador del kit de phishing no modifique el código para eliminarlo. Esto es cierto para el kit de phishing BulletProofLink y en En los casos en que los atacantes que usaban el servicio recibieron credenciales y registros al final de una semana en lugar de realizar campañas ellos mismos, el operador de PhaaS mantuvo el control de todas las credenciales que revenden “.   

6

Author

imagenti

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu socio de confianza en ciberseguridad
Conócenos
Contacto

info@imagenti.mx

Siguenos en:
Linkedin Facebook Instagram Youtube Twitter
Conoce más sobre WithSecure