Los ciberdelincuentes están utilizando un kit de herramientas de phishing como servicio (PhaaS), hasta ahora no documentado, llamado Caffeine, para ampliar eficazmente sus ataques y distribuir cargas útiles nefastas.
"Esta plataforma tiene una interfaz intuitiva y tiene un costo relativamente bajo, al tiempo que ofrece una multitud de funciones y herramientas a sus clientes criminales para orquestar y automatizar los elementos principales de sus campañas de phishing", afirma Mandiant en un nuevo informe.
Algunas de las funciones principales que ofrece la plataforma son:
Capacidad de elaborar kits de phishing personalizados
Gestión páginas de redireccionamiento
Generar dinámicamente las URL que alojan las cargas útiles y realizar un seguimiento del éxito de las campañas.
El desarrollo se produce poco más de un mes después de que Resecurity sacara a la luz otro servicio de PhaaS apodado EvilProxy que se ofrece a la venta en foros criminales de la web oscura.
Sin embargo, a diferencia de EvilProxy, cuyos operadores son conocidos por investigar a los posibles clientes antes de activar las suscripciones, Caffeine destaca por llevar a cabo un proceso de registro abierto, lo que permite a cualquier persona con una dirección de correo electrónico inscribirse en el servicio.
Este enfoque libre de restricciones no sólo evita la necesidad de dirigirse a los actores en foros clandestinos o requerir la recomendación de un usuario existente, sino que también permite a Caffeine ampliar rápidamente su clientela y reducir la barrera de entrada.
Para diferenciarse aún más del resto, el kit de herramientas de PhaaS destaca por ofrecer plantillas de correo electrónico de phishing para su uso contra objetivos chinos y rusos.
"Aunque el uso de plataformas de phishing no es ciertamente un mecanismo novedoso para facilitar los ataques, vale la pena señalar que opciones tan ricas en funciones, como Caffeine, son fácilmente accesibles para los ciberdelincuentes", dijeron los investigadores.
Los servicios PhaaS suelen implicar que un operador desarrolle y despliegue una parte importante de las campañas de phishing, desde las páginas de inicio de sesión falsas, el alojamiento de sitios web, las plantillas de sitios y el robo de credenciales.
La evolución de las amenazas de phishing basadas en el correo electrónico hacia una economía basada en los servicios significa que los adversarios que pretenden llevar a cabo ataques de phishing pueden ahora simplemente comprar tales recursos e infraestructura sin tener que trabajar en ello ellos mismos. Caffeine no es una excepción.
Requiere que los usuarios creen una cuenta y adquieran una suscripción que cuesta $250 USD al mes (Básica), $450 USD por tres meses (Profesional) o $850 USD por una licencia de seis meses (Empresarial) para disponer de su amplia gama de servicios, incluido el panel de gestión de campañas y las herramientas para configurar los ataques.
El objetivo final de la campaña de phishing es facilitar el robo de credenciales de Microsoft 365 a través de páginas de inicio de sesión falsas alojadas en sitios legítimos de WordPress, lo que indica que los actores de Caffeine están aprovechando cuentas de administrador comprometidas, sitios web mal configurados o fallos en las plataformas de infraestructura web para desplegar los kits.
Aunque las páginas de inicio de sesión se limitan actualmente a los señuelos de recolección de credenciales de Microsoft 365, la empresa de inteligencia de amenazas propiedad de Google señaló que podrían introducirse otros formatos de páginas de inicio de sesión en el futuro según las demandas de los clientes.
"También es importante tener en cuenta que las medidas defensivas contra los ataques PhaaS pueden ser un juego del gato y el ratón", dijo Mandiant. "Tan rápido como la infraestructura del actor de la amenaza es derribada, se puede poner en marcha una nueva infraestructura."