Cibercriminosos estão usando um kit de ferramentas de phishing como serviço (PhaaS) anteriormente não documentado chamado Caffeine para aumentar efetivamente seus ataques de phishing ao Microsoft 365.
De acordo com a Mandiant (Via: The Hacker News), “esta plataforma tem uma interface intuitiva e tem um custo relativamente baixo, ao mesmo tempo em que fornece uma infinidade de recursos e ferramentas para seus clientes criminosos para orquestrar e automatizar os principais elementos de suas campanhas de phishing”.
Phishing usando o serviço Caffeine
Alguns dos principais recursos oferecidos pela plataforma incluem a capacidade de criar kits de phishing personalizados, gerenciar páginas de redirecionamento, gerar URLs dinamicamente que hospedam as cargas úteis e acompanhar o sucesso das campanhas. O desenvolvimento ocorre pouco mais de um mês depois que a Resecurity revelou outro serviço PhaaS chamado EvilProxy, que é oferecido à venda em fóruns criminosos da dark web.
Mas, ao contrário do EvilProxy, cujos operadores são conhecidos por examinar clientes em potencial antes de ativar as assinaturas, o Caffeine é notável por executar um processo de registro aberto, permitindo efetivamente que qualquer pessoa com um endereço de e-mail se inscreva no serviço.
Além disso, o kit de ferramentas PhaaS é notável por oferecer modelos de e-mail de phishing para uso contra alvos chineses e russos. “Embora o uso de plataformas de phishing certamente não seja um mecanismo novo para facilitar ataques, vale a pena notar que essas opções ricas em recursos, como a cafeína, são facilmente acessíveis aos cibercriminosos”, disseram os pesquisadores.
O The Hacker News lembra que, os serviços PhaaS normalmente envolvem um operador para desenvolver e implantar uma parte significativa das campanhas de phishing, desde páginas de login falsas, hospedagem de sites, modelos de sites e roubo de credenciais.
A evolução das ameaças de phishing baseadas em e-mail para uma economia baseada em serviços significa que os adversários que pretendem realizar ataques de phishing podem agora simplesmente comprar esses recursos e infraestrutura sem ter que trabalhar neles.
Objetivo da campanha de phishing ao Microsoft 365
O objetivo final da campanha de phishing é facilitar o roubo de credenciais do Microsoft 365 por meio de páginas de entrada não autorizadas hospedadas em sites WordPress legítimos, indicando que os agentes do Caffeine estão aproveitando contas de administrador comprometidas, sites mal configurados ou falhas em plataformas de infraestrutura da Web para implantar os kits.
Embora as páginas de login estejam atualmente limitadas às iscas de coleta de credenciais do Microsoft 365, a empresa de inteligência de ameaças de propriedade do Google observou que formatos adicionais de página de login podem ser introduzidos no futuro, conforme as demandas dos clientes.