Полиция Малайзии сообщила о ликвидации крупной PhaaS-платформы BulletProftLink, существовавшей с 2015 года, и аресте восьми подозреваемых, среди которых числится и предполагаемый главный администратор сервиса.
BulletProftLink (она же BPL или Anthrax) была запущена в 2015 году и работала по схеме Phishing-as-a-Service (PhaaS, «фишинг-как-услуга»), в итоге став одной из крупнейших угроз такого рода.
BulletProftLink работала как обычная SaaS-платформа, но предназначалась для фишеров: за ежемесячную плату в размере 2000 долларов США сервис предоставлял злоумышленникам хостинг для фишинговых сайтов, доступ к фишинг-китам (подборки фишинговых страниц и шаблонов, имитирующих формы входа в систему известных компаний), email-шаблонам для атак и учебным пособиям.
Объемный отчет об активности BulletProofLink в 2021 году подготовила компания Microsoft, специалисты которой писали, что выявили сотни тысяч фишинговых страниц, размещенных на инфраструктуре платформы.
Согласно более свежим данным аналитиков Intel471, по состоянию на апрель текущего года, у BulletProofLink насчитывалось 8138 зарегистрированных пользователей (на 403% больше, по сравнению с отчетом Microsoft), и сервис продавал фишинговые шаблоны для 327 различных брендов, включая Microsoft Office, DHL, южнокорейскую онлайн-платформу Naver, а также American Express, Bank of America, Consumer Credit Union и Royal Bank of Canada.
Кроме того, недавно сервис обзавелся функцией обратного прокси-сервера (на основе Evilginx2), необходимой для перехвата некоторых типов 2ФА и получения доступа к учетным записям, защищенным многофакторной аутентификацией.
Как теперь сообщает полиция Малайзии, в начале ноября сервис был закрыт при поддержке Федеральной полиции Австралии и ФБР, а несколько его доменов были конфискованы.
6 ноября 2023 года в Куала-Лумпуре, Сабахе, Селангоре и Пераке были арестованы восемь человек, один из которых считается руководителем и главным админом BulletProofLink. Также власти изъяли криптовалютные активы на сумму около 213 000 долларов США, серверы, компьютеры, ювелирные изделия, люксовые автомобили и платежные карты. Теперь конфискованные серверы будут изучены правоохранительными органами для установления личностей пользователей платформы.
Хотя малазийские власти пока не раскрывают имен подозреваемых, еще в 2020 году ИБ-исследователь OSINT Fans Габор Сатмари (Gabor Szathmari) провел расследование активности BulletProofLink и опубликовал серию статей (1, 2, 3). Эксперт сообщал, что администратором PhaaS-платформы является некий Адриан Бин Катонг, известный в сети под ником AnthraxBP и заявлявший на LinkedIn, что он является генеральным директором компании BPL Hosting.