Les cybercriminels utilisent une boîte à outils de phishing-as-a-service (PhaaS) auparavant non documentée appelée Caféine pour intensifier efficacement leurs attaques et distribuer des charges utiles néfastes.
“Cette plate-forme a une interface intuitive et est proposée à un coût relativement faible tout en fournissant une multitude de fonctionnalités et d’outils à ses clients criminels pour orchestrer et automatiser les éléments essentiels de leurs campagnes de phishing”, a déclaré Mandiant. a dit dans un nouveau rapport.
Certaines des fonctionnalités de base offertes par la plate-forme comprennent la possibilité de créer des kits de phishing personnalisés, de gérer des pages de redirection, de générer dynamiquement des URL qui hébergent les charges utiles et de suivre le succès des campagnes.
Le développement intervient un peu plus d’un mois après que Resecurity a dévoilé un autre service PhaaS appelé EvilProxy qui est proposé à la vente sur les forums criminels du dark web.
Mais contrairement à EvilProxy, dont les opérateurs sont connus pour examiner les clients potentiels avant d’activer les abonnements, Caffeine se distingue par l’exécution d’un processus d’enregistrement ouvert, permettant à toute personne disposant d’une adresse e-mail de s’inscrire au service.
Cette approche sans restriction évite non seulement d’avoir à approcher les acteurs sur des forums clandestins ou d’exiger une référence d’un utilisateur existant, mais permet également à Caffeine d’élargir rapidement sa clientèle et d’abaisser la barrière à l’entrée.
En se démarquant davantage des autres, la boîte à outils PhaaS est remarquable pour offrir des modèles d’e-mails de phishing à utiliser contre des cibles chinoises et russes.
“Bien que l’utilisation de plates-formes de phishing ne soit certainement pas un nouveau mécanisme pour faciliter les attaques, il convient de noter que de telles options riches en fonctionnalités, comme la caféine, sont facilement accessibles aux cybercriminels”, ont déclaré les chercheurs.
Les services PhaaS impliquent généralement qu’un opérateur développe et déploie une partie importante des campagnes de phishing, directement à partir de fausses pages de connexion, d’hébergement de sites Web, de modèles de sites et de vol d’informations d’identification.
L’évolution des menaces de phishing par e-mail vers une économie basée sur les services signifie que les adversaires qui visent à mener des attaques de phishing peuvent désormais simplement acheter ces ressources et infrastructures sans avoir à y travailler eux-mêmes. La caféine ne fait pas exception.
Il oblige les utilisateurs à créer un compte et à acheter un abonnement qui coûte 250 $ par mois (Basic), 450 $ pour trois mois (Professional) ou 850 $ pour une licence de six mois (Enterprise) pour profiter de sa large gamme de services, y compris le tableau de bord de gestion de campagne et les outils pour configurer les attaques.
L’objectif ultime de la campagne de phishing est de faciliter le vol d’informations d’identification Microsoft 365 via des pages de connexion malveillantes hébergées sur des sites WordPress légitimes, indiquant que les acteurs de Caffeine exploitent des comptes d’administrateur compromis, des sites Web mal configurés ou des failles dans les plates-formes d’infrastructure Web pour déployer les trousses.
Alors que les pages de connexion sont actuellement limitées aux leurres de collecte d’informations d’identification Microsoft 365, la société de renseignement sur les menaces appartenant à Google a noté que des formats de page de connexion supplémentaires pourraient être introduits à l’avenir selon les demandes des clients.
“Il est également important de garder à l’esprit que les mesures défensives contre les attaques PhaaS peuvent être un jeu du chat et de la souris”, a déclaré Mandiant. “Aussi vite que l’infrastructure des acteurs de la menace est supprimée, une nouvelle infrastructure peut être créée.”