Microsoft expone la empresa fraudulenta BulletProofLink

Microsoft expone la empresa fraudulenta BulletProofLink

El equipo sofisticado se encargaba de todo, desde el diseño de plantillas hasta el alojamiento web y el procesamiento de credenciales. Microsoft expone la empresa fraudulenta BulletProofLink.

Los de Redmond han revelado el funcionamiento interno de una empresa delictiva de phishing como servicio (PhaaS) altamente sofisticada. Esta alojaba y distribuía herramientas y servicios para su uso en campañas de phishing de un cliente.

BulletProofLink sigue el modelo legítimo de suscripción comercial de software como servicio (SaaS). Sin embargo, se involucra en el desarrollo y distribución de un extremo a otro de herramientas para ejecutar campañas de phishing, según Microsoft. Se dice que los servicios incluyen herramientas para crear páginas de inicio de sesión falsas, alojamiento web y redistribución de credenciales robadas a los clientes automáticamente.

Los clientes de la empresa utilizan estos servicios para recopilar credenciales de usuarios, en lugar de distribuir malware o ransomware. Los operadores también guardan una copia de las credenciales que todos los clientes roban a través de sus campañas, que revenden para una etapa posterior.

Microsoft expone la empresa fraudulenta BulletProofLink

«Vale la pena señalar que algunos grupos de PhaaS pueden ofrecer todo el trato. Desde la creación de plantillas, el alojamiento y la orquestación general. Esto lo convierte en un modelo de negocio atractivo para su clientela». Esto lo dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender.

«Estos proveedores de servicios de phishing alojan los enlaces y las páginas y los atacantes que pagan por estos servicios simplemente reciben las credenciales robadas más adelante. A diferencia de ciertas operaciones de ransomware, los atacantes no obtienen acceso a dispositivos directamente y, en su lugar, simplemente reciben las credenciales robadas y no probadas».

Los investigadores de Microsoft profundizaron en las plantillas, los servicios y las estructuras de precios que ofrecen los operadores de BulletProofLink. Estos parecen haber estado activos desde 2018. También mantienen varios sitios con varios alias, como BulletPoftLink y Anthrax. Además cuentan con páginas de YouTube y Vimeo con anuncios instructivos y contenido promocional alojado en foros externos.

La operación intenta imitar el comportamiento de negocios legítimos, incluidas las páginas de registro e inicio de sesión y hasta una tienda online. Esta última puede ser usada por otros piratas para anunciar sus propios servicios por una tarifa de suscripción mensual. El grupo incluso se jacta de un descuento de bienvenida del 10% para los clientes que se suscriban al boletín.

El componente central del negocio son más de 100 plantillas, y los clientes pueden controlar otros elementos de la operación de phishing por sí mismos o utilizar el conjunto completo de servicios. Por ejemplo, es posible que solo compren la plantilla y administren el flujo de recopilación de contraseñas de forma independiente al registrar sus propias páginas de destino. También pueden dejar que BulletProofLink se encargue de todo.

La práctica estándar con los ataques de ransomware consiste en que los atacantes exfiltran datos y amenazan con publicarlos, a la vez que cifran dispositivos localmente y exigen un rescate. Es un medio de «doble extorsión».

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados

Tendencias

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x