Microsoft 警告:Phishing-as-a-Service (PHaaS) が流行りだしてきた

Microsoft Warns of a Wide-Scale Phishing-as-a-Service Operation

2021/09/22 TheHackerNews — Microsoft は、大規模な Phishing-as-a-Service (PHaaS) オペレーターの存在を明らかにした。このオペレーターは、フィッシング・キットや電子メール・テンプレートの販売と、ホスティングや自動化サービスの提供を低コストで行っており、脅威アクターが最小限の労力でフィッシング・キャンペーンを購入し、展開することを可能にしている。

Microsoft 365 Defender Threat Intelligence Team は、火曜日に発表したレポートの中で、「BulletProofLink は、既知のブランドやサービスを模倣した 100種類以上のフィッシング・テンプレートを提供しており、企業に影響を与えているフィッシング・キャンペーンの多くを担当している」と述べている

BulletProofLink (可能) は、複数の攻撃者グループにより使用されているが、そのライセンス形態は単発/月額制であり、運営者に安定した収益源をもたらしている。
BulletProofLink のフィッシング・キットを使用した、クレデンシャル・フィッシング・キャンペーンを、Microsoft が調査した際に、このオペレーションが発見された。このオペレーションの存在は、2020年10月に OSINT Fans により、初めて公表されている。

Phishing-as-a-Service (PHaaS) は、従来のフィッシング・キットとは異なるサブスクリプション・ベースであり、そのパッケージ・ファイルには、すぐに使える Eメール・フィッシング・テンプレートなどが含まれる。また、これまでの Software-as-a-Service モデルを踏襲しつつ、サイトのホスティングや、Eメールの配信、クレデンシャルの盗用などの、新たな機能をビルトインしている点が特徴となる。

BulletProofLink は、2018年から活動していると考えられており、オンライン・ポータルを運営し、自社のツールセットを月額 $800 という価格で宣伝し、このサービスへの登録と支払いを、サイバー犯罪組織に提供していると認識されている。また、BulletProofLink のニュースレターを購読すると、10% の割引を受けることもできる。さらに、電子メールに記載された悪意の URL をクリックさせ、被害者が入力した認証情報を盗み出すための、$80〜$100 で販売されている認証情報フィッシング・テンプレートも含まれる。

厄介なことに、新たに盗み出された認証情報は、攻撃者だけでなく、BulletProofLink のオペレーターにも送られる。これは、ランサムウェア・ギャングが採用する二重恐喝攻撃と同じ手法である。研究者たちは、「いくつかのフィッシング・キットには、認証情報を送信するための第2の場所が含まれており、それらのキットの購入者が、対象となるコードを削除しないことを願っているはずだ。また、サービスを使用する攻撃者が、自分でキャンペーンを実施する代わりに、1週間の終わりに BulletProofLink からクレデンシャルとログを受け取った場合、この PhaaS オペレーターは再販も可能な、すべてのクレデンシャルの制御を維持していた。

Ransomware-as-a-Service (RaaS) には驚きましたが、今度は Phishing-as-a-Service (PHaaS) だそうです。とはいえ、この記事を読んで見れば、PHaaS が出現してくるのも必然であり、それを前提に対策などを考える必要があります。最近のフィッシング系の記事としては、「ZLoader マルウェア亜種:TeamViewer フェイク広告から忍び込む」や、「Microsoft 警告:Office 365 や Zoom を装うフィッシングが流行っている」などがあります。カテゴリ Scammer も、合わせてご利用ください。

%d bloggers like this: