Forscher bei Mandiant entdeckten ein neuer Phishing-as-a-Service (PhaaS) namens Caffeine – dessen Kit jeder kaufen kann, um Phishing-Angriffe zu starten.
Derzeit zielen die Vorlagen nur auf Microsoft Office 365-Anmeldeseiten ab und betreffen hauptsächlich die russischen und chinesischen Themen. Forscher warnen die Autoren jedoch, nach und nach weitere Vorlagen hinzuzufügen, um den Umfang dieses Kits zu erweitern.
Ein einfach zu verwendendes Phishing-Kit
Phishing ist eine der einfachsten Methoden, jemanden anzugreifen, und zwar mit einer sorgfältig gestalteten Seite und sonst nichts. Da dabei alle Elemente der Phishing-Seite gründlich bearbeitet werden müssen, gibt es mehrere Dienste, die solche benutzerdefinierten Vorlagen gegen eine bestimmte Gebühr und nur für bestimmte Personen anbieten.
Doch um die Zielgruppe zu umgehen, gibt es einen Dienst namens Koffein aufgetaucht – das heißt, jeder kann sein Konto kostenlos registrieren und mit seinem Phishing-Kit Microsoft Office 365-Anmeldeinformationen stehlen. Dies wurde von Mandiant-Forschern bei einer Analyse eines ihrer Kunden entdeckt, der von Caffeine ins Visier genommen wurde.
Wie sie anmerkten, erfordert Caffeine weder Einladungen oder Empfehlungen noch die Genehmigung eines Administrators bei Telegram oder einem Hacking-Forum. Sie müssen sich lediglich auf der Plattform registrieren und die gewünschten Vorlagen im „Store“ kaufen. Sie zielen hauptsächlich auf russische und chinesische Plattformen ab, im Gegensatz zu den anderen PhaaS-Diensten, die sich an westliche Unternehmen richten.
Der Preis für den Kauf eines Kits (Abonnementlizenz) beträgt je nach Funktionen 250 $ pro Monat, 450 $ für drei Monate oder 850 $ für sechs Monate. Es umfasst Anti-Erkennungs- und Anti-Analysesysteme sowie Kundensupport zu diesem Preis – der etwa 3-5 Mal so hoch ist wie der eines typischen PhaaS-Kits. Nun, es bietet noch mehr, wie unten beschrieben:
- Mechanismen zum Anpassen dynamischer URL-Schemata, um die dynamische Generierung von Seiten zu unterstützen, die bereits mit opferspezifischen Informationen ausgefüllt sind.
- Weiterleitungsseiten der ersten Kampagnenphase und letzte Köderseiten.
- IP-Blocklist-Optionen für Geoblocking, CIDR-bereichsbasiertes Blockieren usw.
Käufer (Betreiber) müssen die Parameter ihrer Phishing-Kampagne konfigurieren und das Phishing-Kit bereitstellen, das derzeit auf eine Microsoft 365-Anmeldeseite beschränkt ist. Die Forscher warnen jedoch, dass die Autoren des Kits bald weitere Vorlagen hinzufügen könnten. Zur besseren Integration können die Betreiber sogar ihr eigenes Python- oder PHP-basiertes E-Mail-Verwaltungsprogramm verwenden.
