Una plataforma de phishing como servicio (PhaaS) llamada 'Caffeine' facilita que los actores de amenazas lancen ataques, presentando un proceso de registro abierto que permite a cualquier persona participar y comenzar sus propias campañas de phishing.
Caffeine no requiere invitaciones o referencias, ni requiere que los aspirantes a actores de amenazas obtengan la aprobación de un administrador en Telegram o un foro de piratería. Debido a esto, elimina gran parte de la fricción que caracteriza a casi todas las plataformas de este tipo.
Otra característica distintiva de Caffeine es que sus plantillas de phishing se dirigen a plataformas rusas y chinas, mientras que la mayoría de las plataformas PhaaS tienden a centrarse en señuelos para servicios occidentales.
Los analistas de Mandiant descubrieron y probaron Caffeine a fondo, y hoy informan que es un PhaaS preocupantemente rico en funciones considerando su baja barrera de entrada.
La firma de seguridad cibernética descubrió a Caffeine por primera vez después de investigar una campaña de phishing a gran escala que se llevó a cabo a través del servicio, dirigida a uno de los clientes de Mandiant para robar las credenciales de la cuenta de Microsoft 365.
Impulsando campañas de phishing
Caffeine requiere la creación de una cuenta, después de lo cual el operador obtiene acceso inmediato a la "Tienda", que contiene herramientas de creación de campañas de phishing y un panel de información general.
Luego, los operadores deben comprar una licencia de suscripción, que cuesta $250 por mes, $450 por tres meses o $850 por seis meses, según las funciones.
Eso es aproximadamente de 3 a 5 veces el costo de suscripción típico de PhaaS, y Caffeine intenta compensarlo ofreciendo sistemas anti-detección y anti-análisis y servicios de atención al cliente.
En términos de opciones de phishing, algunas de las características avanzadas que ofrece la plataforma incluyen:
- Mecanismos para personalizar esquemas de URL dinámicos para ayudar a generar dinámicamente páginas que se rellenan previamente con información específica de la víctima.
- Páginas de redireccionamiento de campaña de primera etapa y páginas de señuelo final.
- Opciones de listas de bloqueo de IP para geobloqueo, bloqueo basado en rango CIDR, etc.
Después de configurar los parámetros principales de la campaña de phishing, los operadores deberán implementar el kit de phishing, que actualmente está limitado a una página de inicio de sesión de Microsoft 365, y luego seleccionar una plantilla de phishing.
Caffeine ofrece varias opciones de plantillas de phishing, incluido Microsoft 365 y varios señuelos para plataformas chinas y rusas. Mandiant cree que pronto se agregarán más.
La plataforma también permite a los operadores usar su propia utilidad de administración de correo electrónico basada en Python o PHP para enviar correos electrónicos de phishing a sus objetivos, lo que reduce la necesidad de herramientas externas.
Si bien Mandiant brinda orientación de detección para capturar correos electrónicos de phishing respaldados por Caffeine, los analistas destacan la posibilidad de que los delincuentes adopten nuevas técnicas de evasión que podrían dejar obsoleta la sección de ese informe.
Lamentablemente, Caffeine es otra opción añadida a las opciones disponibles para los ciberdelincuentes poco cualificados que buscan plataformas automatizadas, lo que podría convertirse en un problema mayor si se añaden más plantillas a su colección.
Fuente: Bleepingcomputer.