Компания Mandiant обнаружила новую платформу Caffeine, работающую по схеме Phishing-as-a-Service (PHaaS, «фишинг-как-услуга»). Интересно, что здесь новым клиентам для подключения не требуются приглашения или рефералы, а также не нужно получать одобрение администратора или приводить «поручителя» с хакерского форума. Кроме того, Caffeine нацелен в основном на российские и китайские сервисы, что тоже весьма необычно.
«Эта платформа имеет интуитивно понятный интерфейс и относительно низкую стоимость, предоставляя своим клиентам-преступникам множество функций и инструментов для организации и автоматизации основных элементов фишинговых кампаний», — рассказывают исследователи в своем отчете.
Эксперты обнаружили Caffeine после расследования крупномасштабной фишинговой атаки, нацеленной на одного из клиентов Mandiant с целью кражи учетных данных Microsoft 365.
Отчет гласит, что одной из главных опасностей платформы Caffeine является ее доступность. Так, для создания учетной записи в Caffeine не нужны инвайты и рефералы, и сразу после создания аккаунта преступник получает доступ к «магазину», где содержатся инструменты для проведения фишинговых кампаний и панель инструментов.
Лишь после этого пользователь должен оплатить подписку, которая стоит 250 долларов в месяц, 450 долларов на три месяца или 850 долларов на полгода, в зависимости от функций. Так как по сравнению с другими PhaaS-сервисами это довольно дорого, Caffeine пытается компенсировать стоимость, предлагая своим клиентам системы антиобнаружения и антианализа, а также услуги поддержки.
Среди основных функций, предлагаемых платформой, есть возможность создавать настраиваемые фишинг-киты, управлять страницами для перенаправления и страницами-приманками, динамически генерировать URL-адреса, на которых размещаются пейлоады, настраивать черный списков IP-адресов (геоблокировка, блокировки на основе CIDR и так далее) и отслеживать статистику своих кампаний.
Также подчеркивается, что платформа позволяет операторам использовать собственную утилиту на основе Python или PHP для рассылки фишинговых писем целям, что дополнительно снижает потребность во внешних инструментах.
В настоящее время Caffeine предлагает несколько вариантов фишинговых шаблонов, включая шаблоны для Microsoft 365 и различные приманки для китайских и российских сервисов. В Mandiant считают, что в будущем операторы Caffeine еще расширят этот список.
Хотя Mandiant прилагает к своему отчету руководство по обнаружению фишинговых писем Caffeine, аналитики подчеркивают, что противостояние PhaaS, это «игра в кошки-мышки», и скорее всего, преступники задействуют новые методы уклонения, после чего отчет можно будет считать устаревшим.