Microsoft descobre nova operação de Phishing-as-a-Service

A Microsoft alertou para uma operação de Phishing-as-a-Service, alegadamente responsável por vários ataques contra empresas, que está a vender páginas de login falsas de serviços como o OneDrive que ajudam os cibercriminosos a roubar palavras-passe e nomes de utilizadores.

Apesar dos “kits” de phishing não serem novidade, este em particular – chamado BulletProofLink – chamou à atenção da equipa de segurança da Microsoft. Fornece modelos de e-mail e website como os restantes kits, mas também oferece entrega de e-mail, serviços de hospedagem e roubo de credenciais. Alega ainda fornecer links e logins "totalmente não detetados" (FUD) e está disponível como uma subscrição semanal, bi-semanal, mensal ou anual. 

Neste caso, os criminosos “recolhem os links e páginas e os atacantes que pagam pelo serviço simplesmente recebem as credenciais roubadas mais tarde. Ao contrário de certas operações de ransomware, os atacantes não têm acesso direto aos dispositivos e simplesmente recebem credenciais roubadas não testadas", nota a Microsoft 365 Defender Threat Intelligence Team numa publicação no blog.   

A preocupação da Microsoft, que descobriu o serviço durante uma investigação a uma campanha de phishing, provém ainda do facto do serviço oferecer dezenas de modelos para páginas de login de serviços populares, como o OneDrive, LinkedIn, Adobe, entre outros, que podem ser adquiridos por um baixo custo. O BulletProofLink, também conhecido como Anthrax, está a ser comercializado de forma aberta online e em fóruns underground, publicando inclusive tutoriais de como o utilizar o kit e lançar o ataque. 

É de notar que os modelos de fornecedores de serviços ransomware estão a influenciar o funcionamento dos negócios de phishing, uma vez que este tipo de serviço pode funcionar em cadeia, como um gatilho para despoletar campanhas de ransomware.