Los investigadores de Mandiant descubrieron un nuevo Phishing-as-a-service (PhaaS) llamado Caffeine, que permite que cualquier persona compre su kit para lanzar ataques de phishing.
Actualmente, las plantillas solo se dirigen a las páginas de inicio de sesión de Microsoft Office 365 y se refieren principalmente a los temas ruso y chino. Pero los investigadores advierten a los autores que agreguen más plantillas gradualmente para expandir el alcance de este kit.
Un kit de phishing fácil de usar
El phishing es uno de los medios más simples de atacar a alguien con una página cuidadosamente diseñada y nada más. Como requiere una edición profunda de todos los elementos de la página de phishing, existen varios servicios para ofrecer este tipo de plantillas personalizadas por una determinada tarifa y solo para determinadas personas.
Pero evadiendo el grupo objetivo, un servicio llamado Cafeína apareció: eso permite que cualquier persona registre su cuenta de forma gratuita y comience a usar su kit de phishing para robar las credenciales de Microsoft Office 365. Esto fue descubierto por Investigadores mandantes en un análisis de uno de sus clientes, que fueron atacados por Caffeine.
Como señalaron, Caffeine no requiere invitaciones ni referencias, ni la aprobación de un administrador en Telegram o un foro de piratería. Todo lo que necesita hacer es registrarse en su plataforma y comprar las plantillas deseadas en su “Tienda”. En su mayoría, están hechos para apuntar a plataformas rusas y chinas, a diferencia de otros servicios PhaaS que apuntan a entidades occidentales.
El precio de compra de un kit (licencia de suscripción) cuesta $250 por mes, $450 por tres meses o $850 por seis meses, dependiendo de las características. Incluye sistemas anti-detección, anti-análisis y servicios de atención al cliente por este precio, que es aproximadamente de 3 a 5 veces más que un kit PhaaS típico. Bueno, también ofrece más, como se muestra a continuación;
- Mecanismos para personalizar esquemas de URL dinámicos para ayudar a generar dinámicamente páginas que se rellenan previamente con información específica de la víctima.
- Páginas de redireccionamiento de campaña de primera etapa y páginas de señuelo final.
- Opciones de listas de bloqueo de IP para geobloqueo, bloqueo basado en rango CIDR, etc.
Los compradores (operadores) deben configurar los parámetros de su campaña de phishing e implementar el kit de phishing, que actualmente está limitado a una página de inicio de sesión de Microsoft 365. Pero los investigadores advierten que los autores del kit pueden agregar más plantillas pronto. Incluso les permite a los operadores usar su propia utilidad de administración de correo electrónico basada en Python o PHP para una mejor integración.
