Les autorités malaisiennes chargées de l’application des lois ont annoncé le retrait d’une opération de phishing en tant que service (PhaaS) appelée BulletProofLien.
La police royale malaisienne a déclaré que ces efforts, menés avec l’aide de la police fédérale australienne (AFP) et du Federal Bureau of Investigation (FBI) américain le 6 novembre 2023, étaient basés sur des informations selon lesquelles les acteurs menaçants derrière la plateforme étaient basé à l’extérieur du pays.
À cette fin, huit personnes âgées de 29 à 56 ans, dont le cerveau du syndicat, ont été arrêtées dans différents endroits de Sabah, Selangor, Perak et Kuala Lumpur, New Straits Times signalé.
Parallèlement aux arrestations, les autorités ont confisqué des serveurs, des ordinateurs, des bijoux, des véhicules et des portefeuilles de crypto-monnaie contenant environ 213 000 dollars.
BulletProofLien, également appelé BulletProftLink, est connu pour proposer des modèles de phishing prêts à l’emploi sur abonnement à d’autres acteurs pour mener des campagnes de collecte d’informations d’identification. Ces modèles imitent les pages de connexion de services bien connus comme American Express, Bank of America, DHL, Microsoft et Naver.
Selon une analyse de Microsoft de septembre 2021, les acteurs de BulletProofLink se sont également livrés à ce que l’on appelle un double vol dans lequel les informations d’identification volées sont envoyées à la fois à leurs clients et aux développeurs principaux, ce qui ouvre des voies de monétisation supplémentaires.
« BulletProftLink est associé à l’acteur malveillant AnthraxBP, également connu sous les surnoms en ligne TheGreenMY et AnthraxLinkers », a déclaré la société de cybersécurité Intel 471. dit la semaine dernière.
« L’acteur maintenait un site Web actif annonçant des services de phishing. L’acteur a une vaste empreinte clandestine et opérait sur un certain nombre de forums Web clandestins clairs et de chaînes Telegram en utilisant plusieurs identifiants. »
Considérée comme active depuis au moins 2015, la vitrine en ligne de BulletProftLink compterait pas moins de 8 138 clients actifs et 327 modèles de pages de phishing en avril 2023.
Une autre particularité remarquable est l’intégration du Malginx2 pour faciliter les attaques d’adversaire au milieu (AiTM) qui permettent aux acteurs malveillants de voler les cookies de session et de contourner les protections d’authentification multifacteur.
« Les systèmes PhaaS comme BulletProftLink fournissent le carburant nécessaire à de nouvelles attaques », a déclaré Intel 471. « Les identifiants de connexion volés sont l’un des principaux moyens par lesquels les pirates malveillants accèdent aux organisations. »
Signe que les acteurs malveillants mettent constamment à jour leurs tactiques en réponse aux perturbations et adoptent des approches plus sophistiquées, des attaques AiTM ont également été observées utilisant des liens intermédiaires vers des documents hébergés sur des solutions de partage de fichiers comme DRACOON qui contiennent les URL vers une infrastructure contrôlée par l’adversaire.
« Cette nouvelle méthode peut contourner les mesures d’atténuation de la sécurité du courrier électronique puisque le lien initial semble provenir d’une source légitime et qu’aucun fichier n’est transmis au point final de la victime, car le document hébergé contenant le lien peut être utilisé via le serveur de partage de fichiers dans le navigateur. » Tendance Micro dit.
Cette évolution intervient alors qu’un ressortissant serbe et croate de 33 ans, Milomir Desnica, a plaidé coupable aux États-Unis pour avoir exploité une plateforme de trafic de drogue appelée Monopoly Market sur le dark web et pour avoir conspiré en vue de distribuer plus de 30 kilogrammes de méthamphétamine à des clients américains.
Le marché illicite, créé par Desnica en 2019, a été mis hors ligne en décembre 2021 dans le cadre d’un exercice coordonné en partenariat avec l’Allemagne et la Finlande. Desnica a été arrêtée en Autriche en novembre 2022 et extradée vers les États-Unis pour faire face à des accusations de trafic de drogue en juin 2023.