发布于2022年10月16日3年前 网络犯罪分子正在使用以前未记录的网络钓鱼即服务 (PhaaS) 工具包,称为Caffeine,以有效扩大攻击范围并分发恶意有效载荷。 Mandiant在一份新报告中说: “该平台具有直观的界面,成本相对较低,同时为犯罪客户提供了多种功能和工具,以协调和自动化其网络钓鱼活动的核心要素。” 该平台提供的一些核心功能包括制作定制的网络钓鱼工具包、管理重定向页面、动态生成承载有效负载的 URL 以及跟踪活动成功的能力。 一个多月后,Resecurity 揭开了另一项名为EvilProxy的 PhaaS 服务的面纱,该服务在暗网犯罪论坛上出售。 但与 EvilProxy 不同,众所周知,EvilProxy 的运营商会在激活订阅之前审查潜在客户,Caffeine 以运行开放注册流程而著称,有效地使任何拥有电子邮件地址的人都可以注册该服务。 这种无限制的方法不仅避免了在地下论坛上接近演员或需要现有用户推荐的需要,而且还允许 Caffeine 迅速扩大其客户群并降低进入门槛。 PhaaS 工具包使其更加与众不同,值得注意的是,它提供了针对中国和俄罗斯目标的网络钓鱼电子邮件模板。 研究人员说:“虽然网络钓鱼平台的使用肯定不是一种促进攻击的新机制,但值得注意的是,像咖啡因这样的功能丰富的选项很容易被网络犯罪分子使用。” PhaaS 服务通常需要运营商开发和部署大量网络钓鱼活动,包括虚假登录页面、网站托管、网站模板和凭据盗窃。 基于电子邮件的网络钓鱼威胁演变为基于服务的经济意味着旨在进行网络钓鱼攻击的对手现在可以简单地购买此类资源和基础设施,而无需自己进行操作。咖啡因也不例外。 它要求用户创建一个帐户,并购买每月 250 美元(基本)、三个月 450 美元(专业)或 6 个月许可证(企业)850 美元的订阅,以利用其广泛的服务,包括活动管理仪表板和一组用于配置攻击的工具。 网络钓鱼活动的最终目标是通过托管在合法 WordPress 站点上的流氓登录页面来促进 Microsoft 365 凭据的盗窃,这表明 Caffeine 攻击者正在利用受损的管理员帐户、错误配置的网站或 Web 基础设施平台中的缺陷来部署套件。 虽然登录页面目前仅限于 Microsoft 365 凭据收集诱饵,但谷歌拥有的威胁情报公司指出,未来可能会根据客户需求引入其他登录页面格式。 “同样重要的是要记住,针对 PhaaS 攻击的防御措施可能是一场猫捉老鼠的游戏,”Mandiant 说。“只要威胁参与者的基础设施被拆除,新的基础设施就可以启动。”
