BulletProofLink è un’operazione di phishing-as-a-service su larga scala utilizzata da molteplici attori malevoli per condurre pericolose campagne di phishing
I ricercatori di Microsoft hanno analizzato un’operazione di phishing-as-a-service (PHaaS) su larga scala, soprannominata BulletProofLink (anche nota come Anthrax), che offre ai suoi clienti tutto il necessario per organizzare una efficace campagna di phishing. Tra i servizi e prodotti offerti dalla piattaforma a servizio ci sono kit di phishing, i template per confezionare e-mail di phishing che appaiano come provenienti da aziende note e servizi di hosting per ospitare che strutture utilizzate nelle campagne.
Il vantaggio di servizi di phishing-as-a-service (PHaaS) risiede nel fatto che consentono a qualunque malintenzionato, pur privo di particolari capacità tecniche, di poter organizzare la propria campagna. Talvolta questi servizi sono utilizzati anche da gruppi di professionisti che intendono eseguire attacchi rapidamente utilizzando infrastrutture condivise con altri attori al fine di rendere complessa l’attribuzione della campagna.
Il servizio BulletProofLink è molto economico, la sottoscrizione mensile costa fino a $800 full service, mentre altri servizi arrivano a costare circa $50 per accessi alla piattaforma singoli. Sono previsti sconti del 10% sugli ordini dei clienti se si iscrivono alla loro newsletter.
Grande attenzione anche alle modalità di pagamento, sono accettati Bitcoin per proteggere l’anonimato dei clienti, spesso gruppi criminali che dispongono di discrete somme di cripto valute proventi di altre attività illecite.
Microsoft ha scoperto l’operazione durante la sua indagine su una campagna di phishing che utilizzava un phishing kit BulletProofLink; tuttavia, lo stesso servizio era stato individuato per la prima volta da OSINT Fans nell’ottobre 2020.
Secondo gli esperti la piattaforma BulletProofLink mette a disposizione degli iscritti oltre cento modelli che imitano popolari marchi e servizi, si stima che molte delle campagne di phishing che colpiscono oggi le aziende.
BulletProofLink è attivo dal 2018, è stato utilizzato da molteplici attori malevoli, dispone di un negozio online per pubblicizzare i propri servizi.
Uno degli aspetti più interessanti di questa campagna di phishing su larga scala è stato definito dagli esperti Microsoft “doppio furto”, si tratta di una tattica in cui le credenziali rubate dalle campagne organizzate dai clienti della piattaforma vengono inviate anche a un server controllato da operatori di BulletProofLink. Questo accade quando gli utenti della piattaforma utilizzano kit di phishing nella sua configurazione predefinita, un’analisi infatti ha rilevato la presenza di codice che invia le credenziali rubate alle vittime sia ai clienti del servizio di Phishing-as-a-Service sia ai gestori della piattaforma BulletProofLink stessa.
La doppia tattica del furto consente agli operatori PhaaS di massimizzare i loro profitti, gli operatori infatti guadagnano due volte, dalle sottoscrizioni al loro servizio e vendendo nell’underground criminale le credenziali delle vittime dei loro clienti.
“Con i kit di phishing, è banale per gli operatori includere una funzione per inviare and ad una destinazione secondaria le credenziali rubate e sperare che l’acquirente del kit di phishing non alteri il codice per rimuoverla. Questo è vero per il kit di phishing BulletProofLink, i cui i clienti hanno ricevuto credenziali e log alla fine di una settimana, mentre l’operatore PhaaS ha mantenuto il controllo di tutte le credenziali che sono poi rivendute”. conclude Microsoft. “Sia nel ransomware che nel phishing, gli operatori che forniscono risorse per facilitare gli attacchi massimizzano la monetizzazione assicurando che i dati, l’accesso e le credenziali rubati vengano utilizzati nel maggior numero possibile di modi. Inoltre, è probabile che anche le credenziali delle vittime finiscano nell’economia sommersa.”
La piattaforma analizzata è un esempio di una più ampia gamma di servizi volti ad agevolare l’impresa criminale, anche se non in possesso di competenze tecniche specifiche, e che definiamo come Cybercrime-as-a-Service.
Oggi abbiamo discusso del phishing-as-a-Service, ma servizi analoghi esistono per la creazione di malware, malware-as-a-service, e per accessi ad infrastrutture compromesse, Access-as-a-Service. Occorre monitorare attentamente questi servizi in quanto fungono da importanti aggregatori ed acceleratori nell’ecosistema cybercriminale, attirando anche attori solitamente dediti al crimine ordinario e pertanto privi o quasi di competenze informatiche e di hacking.
