Las autoridades policiales de Malasia han Anunciado la eliminación de una operación de phishing como servicio (PhaaS) llamada Enlace a prueba de balas.
La Policía Real de Malasia dijo que el esfuerzo, que se llevó a cabo con la asistencia de la Policía Federal Australiana (AFP) y la Oficina Federal de Investigaciones (FBI) de EE. UU. el 6 de noviembre de 2023, se basó en información de que los actores de amenazas detrás de la plataforma estaban radicado fuera del país.
Con ese fin, ocho personas de entre 29 y 56 años, incluido el cerebro del sindicato, han sido arrestadas en diferentes lugares de Sabah, Selangor, Perak y Kuala Lumpur, New Straits Times. reportado.
Junto con los arrestos, las autoridades confiscaron servidores, computadoras, joyas, vehículos y carteras de criptomonedas que contenían aproximadamente 213.000 dólares.
Enlace a prueba de balas, también llamado BulletProftLink, es conocido por ofrecer plantillas de phishing listas para usar mediante suscripción a otros actores para realizar campañas de recolección de credenciales. Estas plantillas imitan las páginas de inicio de sesión de servicios conocidos como American Express, Bank of America, DHL, Microsoft y Naver.
Según un análisis de Microsoft de septiembre de 2021, los actores de BulletProofLink también participaron en lo que se llama doble robo, en el que las credenciales robadas se envían tanto a sus clientes como a los desarrolladores principales, lo que genera vías de monetización adicionales.
«BulletProftLink está asociado con el actor de amenazas AnthraxBP, que también recibió los apodos en línea TheGreenMY y AnthraxLinkers», la firma de ciberseguridad Intel 471 dicho la semana pasada.
«El actor mantuvo un sitio web activo que anunciaba servicios de phishing. El actor tiene una amplia presencia clandestina y operaba en varios foros web clandestinos y canales de Telegram utilizando múltiples identificadores».
Se cree que está activo desde al menos 2015, y se estima que la tienda en línea de BulletProftLink tiene no menos de 8138 clientes activos y 327 plantillas de páginas de phishing en abril de 2023.
Otra característica destacable es su integración del malginx2 para facilitar los ataques de adversario en el medio (AiTM) que hacen posible que los actores de amenazas roben cookies de sesión y eludan las protecciones de autenticación multifactor.
«Los esquemas PhaaS como BulletProftLink proporcionan el combustible para futuros ataques», dijo Intel 471. «Las credenciales de inicio de sesión robadas son una de las principales formas en que los piratas informáticos malintencionados obtienen acceso a las organizaciones».
En una señal de que los actores de amenazas actualizan constantemente sus tácticas en respuesta a las interrupciones y adoptan enfoques más sofisticados, también se ha observado que los ataques AiTM emplean enlaces intermediarios a documentos alojados en soluciones de intercambio de archivos como DRACOON que contienen las URL de la infraestructura controlada por el adversario.
«Este nuevo método puede eludir las mitigaciones de seguridad del correo electrónico, ya que el enlace inicial parece provenir de una fuente legítima y no se entregan archivos al terminal de la víctima, ya que se puede interactuar con el documento alojado que contiene el enlace a través del servidor de intercambio de archivos dentro del navegador. «Tendencia Micro dicho.
La noticia se produce cuando Milomir Desnica, ciudadano serbio y croata de 33 años, declarado culpable en Estados Unidos por operar una plataforma de tráfico de drogas llamada Monopoly Market en la web oscura y por conspirar para distribuir más de 30 kilogramos de metanfetamina a clientes estadounidenses.
El mercado ilícito, creado por Desnica en 2019, se desconectó en diciembre de 2021 como parte de un ejercicio coordinado en asociación con Alemania y Finlandia. Desnica fue arrestada en Austria en noviembre de 2022 y extraditada a Estados Unidos para enfrentar cargos de tráfico de drogas en junio de 2023.