13 Октября 2022 09:40 13 Окт 2022 09:40 |

Поделиться

Криминальный сервис Caffeine превращает в киберпреступника любого желающего без навыков программирования

Фишинг как услуга

Эксперты фирмы Mandiant сообщили об обнаружении нового фишингового сервиса, который позволяет всем желающим атаковать пользователей Microsoft 365 с немалой вероятностью успеха.

Криминальный сервис Caffeine - это платформа, работающая по принципу phishing-as-a-service и предоставляющая своим клиентам инструментарий для проведения фишинговых кампаний.

Как выяснили эксперты Mandiant, Caffeine - практически общедоступный ресурс, работающий без каких-либо приглашений или рекомендаций от прежних пользователей, и специального одобрения от администраторов тоже не требуется. В Mandiant отмечают, что практика приглашений и одобрений нередко становится причиной конфликтов среди пользователей подобных ресурсов. В случае Caffeine этого не наблюдается.

Что ещё характерно, шаблоны Caffeine нацелены как раз на русскоговорящих и китаеговорящих пользователей, а не только на жителей стран Запада (как большинство PhaaS-платформ).

«Удручающе богатая» функциональностью админка фишинг-сервиса Caffeine

В Mandiant указывают, что Caffeine «удручающе богата» функциональностью, что вкупе с практически отсутствующим входным барьером делает её вдвойне опасной.

Платформа была обнаружена, когда экспертам Mandiant пришлось расследовать крупномасштабную кампанию против одного из клиентов фирмы - компании, широко использующей Microsoft 365. Некоторые работники столкнулись с утерей реквизитов доступа к системе.

Дорогое удовольствие

Согласно описанию, которое приводит Mandiant, Caffeine выполнен в формате, напоминающем интернет-магазин; при этом есть три варианта подписки - «базовая», «профессиональная» и «корпоративная», различающиеся не только сроками (от месяца до полугода), но и доступными функциями.

Стоимость подписки составляет $250, $450 и $850, соответственно.

Как отмечают в Mandiant, это в три-пять раз выше, чем в среднем по рынку, однако создатели платформы обещают своим деятельным клиентам не только всяческую техподдержку, но и защиту от обнаружения и от попыток анализа.

Среди продвинутых функций осуществления атак эксперты Mandiant отмечают механизмы настройки схем динамических URL-адресов, дополняющих динамическое создание страниц, предварительно заполняемых информацией о жертве; создание страниц перенаправлений для первого этапа кампании и страниц-приманок для последнего этапа, а также опции для блокирования IP-адресов по географическим признакам, а также по признакам бесклассовой междоменной маршрутизации (CIDR).

После настройки основных параметров операторам потребуется запустить основной фишинговый инструмент, который пока имитирует только страницу входа в аккаунт Microsoft 365, и выбрать шаблон для фишингового письма. Имеющиеся на данный момент шаблоны, как уже сказано, нацелены на русско- и китаеговорящих пользователей, но в Mandiant считают, что долго ждать появления дополнительных языковых шаблонов не придётся.

Платформа также позволяет операторам использовать одно из своих собственных систем управления электронной почтой - на базе Python или PHP, так что пользоваться какими-то сторонними средствами не потребуется.

«Caffeine - это очередное предложение формата «сделай сам», позволяющий совершать киберпреступления без всякой технической подготовки, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Это делает киберкриминал всё более популярным занятием, а значит - увеличивает число потенциальных жертв. К сожалению, бороться с подобными ресурсами исключительно трудная задача, более реалистичный вариант - это использование антифишинговых технических средств и регулярная тренировка корпоративных пользователей на предмет определения фишинговых сообщений».

В публикации Mandiant рассказывается, каким образом можно перехватить фишинговые письма, рассылаемые с помощью Caffeine, однако авторы указывают, что в любой момент злоумышленники могут применить новые методики обеспечения скрытности.

Роман Георгиев

Поделиться

Короткая ссылка