A notória plataforma de phishing-as-a-service (PhaaS) BulletProftLink, que fornecia mais de 300 templates de phishing, foi confiscada, anunciou a Polícia Real da Malásia.
A operação começou em 2015, mas só chegou ao radar dos pesquisadores mais tarde e tornou-se mais ativa desde 2018 com milhares de assinantes, alguns deles pagando pelo acesso a lotes de registros de credenciais.
Plataformas PhaaS fornecem aos cibercriminosos ferramentas e recursos para realizar ataques de phishing através de kits e templates “prontos para usar”, hospedagem de páginas, opções de personalização, colheita de credenciais e ferramentas de proxy reverso.
A operação BulletProftLink foi documentada anteriormente.
Em 2020, o especialista em cibersegurança Gabor Szathmari detalhou em uma série de três partes de pesquisa de inteligência de fonte aberta [1, 2, 3] como ele conseguiu com alta confiança ligar o operador do serviço a um cidadão malaio levando uma vida de luxo.
Um relatório da Microsoft em setembro de 2021 alertou sobre o alto volume de ataques de phishing que o serviço facilitava, além de um grande número de templates disponíveis para compradores.
O serviço também coletava todas as credenciais roubadas em ataques de phishing pelos seus assinantes (1.618 na época).
Auxiliada pela Polícia Federal Australiana e pelo FBI, a polícia malaia conseguiu desmantelar a operação e derrubar vários domínios utilizados pela loja ilegal.
A polícia prendeu oito pessoas em 6 de novembro, sendo uma delas um homem autodidata supostamente líder da operação.
As autoridades também apreenderam carteiras de criptomoedas contendo cerca de $213.000, servidores, computadores, joias, veículos e cartões de pagamento.
Com servidores confiscados, as autoridades podem examiná-los para identificar usuários da plataforma, alguns deles pagando uma taxa de assinatura de $2.000/mês para acessar lotes regulares de logs de credenciais.
A empresa de inteligência em cibercrime Intel471 diz que, em abril de 2023, a BulletProftLink tinha 8.138 assinantes ativos com acesso a 327 templates de páginas de phishing.
Isso representa um aumento de 403% nos clientes desde o relatório da Microsoft em 2021, refletindo a imensa popularidade da plataforma na comunidade de cibercrime.
A Intel 471 diz que os recursos de phishing oferecidos pela BulletProftLink antes de ser tirada do ar "incluíam páginas de login para Microsoft Office, DHL, a plataforma online baseada na Coreia do Sul Naver e instituições financeiras incluindo American Express, Bank of America, Consumer Credit Union e Royal Bank of Canada".
Algumas dessas páginas de phishing eram hospedadas em serviços legítimos de nuvem como Google Cloud e Microsoft Azure para evadir ferramentas de segurança de e-mail.
O inventário da BulletProftLink também incluía a ferramenta de proxy reverso Evilginx2 que permite ataques de phishing adversário-no-meio (AITM), que podem contornar proteções de autenticação multifatorial.
A operação era uma importante fonte de credenciais para cibercriminosos profissionais ganharem acesso inicial aos sistemas corporativos.
Com uma base na rede da empresa, os atacantes podem começar o estágio de reconhecimento e se deslocar lateralmente para hosts valiosos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...