Forskare vid Mandiant upptäckte en ny Phishing-as-a-service (PhaaS) som heter Koffein – som låter vem som helst köpa dess kit för att starta nätfiskeattacker.
För närvarande är mallarna endast inriktade på Microsoft Office 365-inloggningssidor och berör mestadels de ryska och kinesiska teman. Men forskare varnar författare att lägga till fler mallar gradvis för att utöka omfattningen av detta kit.
Ett lättanvänt phishing-kit
Nätfiske är ett av de enklaste sätten att attackera någon med en noggrant utformad sida och inget annat. Eftersom det kräver djup redigering av alla element på nätfiskesidan, finns det flera tjänster för att erbjuda sådana anpassade mallar för en viss avgift och endast för vissa personer.
Men kringgå målgruppen ringde en tjänst Koffein dök upp – det låter vem som helst registrera sitt konto gratis och börja använda sitt nätfiskepaket för att stjäla Microsoft Office 365-uppgifter. Detta upptäcktes av Mandiant forskare i en analys av en av deras kunder, som var måltavla av koffein.
Som de noterade kräver koffein inte inbjudningar eller hänvisningar, inte heller godkännande från en administratör på Telegram eller ett hackingforum. Allt du behöver göra är att registrera dig på dess plattform och köpa önskade mallar från dess “butik”. De är mestadels gjorda för att rikta in sig på ryska och kinesiska plattformar, till skillnad från de andra PhaaS-tjänsterna som riktar sig till västerländska enheter.
Priset för att köpa ett kit (prenumerationslicens) kostar $250 per månad, $450 för tre månader eller $850 för sex månader, beroende på funktionerna. Det inkluderar antidetektering, antianalyssystem och kundsupporttjänster för detta pris – vilket är ungefär 3-5 gånger så mycket som ett typiskt PhaaS-kit. Tja, den erbjuder också mer, som nedan;
- Mekanismer för att anpassa dynamiska URL-scheman för att hjälpa till att dynamiskt generera sidor som i förväg fylls i med offerspecifik information.
- Omdirigeringssidor för första steget i kampanjen och sista lockelsesidor.
- IP-blockeringsalternativ för geoblockering, CIDR-intervallbaserad blockering, etc.
Köpare (operatörer) måste konfigurera sina nätfiskekampanjparametrar och distribuera nätfiskepaketet, som för närvarande är begränsat till en Microsoft 365-inloggningssida. Men forskare varnar för att kitförfattarna kan lägga till fler mallar snart. Det låter till och med operatörerna använda sitt eget Python- eller PHP-baserade e-posthanteringsverktyg för bättre integration.