近日,马来西亚皇家警方宣布已将 BulletProftLink 网络钓鱼即服务(PhaaS)平台查封。据悉,该平台拥有数千名用户,并向用户提供约 300 多个网络钓鱼模板。
2015 年,BulletProftLink开始投入运营。2018 年开始活动越来越频繁,很多人通过付费后拿到了大量的网络钓鱼凭据,这也引起了研究人员的关注。
PhaaS 平台通过 "即用型 "工具包和模板、页面托管、定制选项、凭据收集和反向代理工具,为网络犯罪分子提供实施网络钓鱼攻击的工具和资源。
2020 年,网络安全专家 Gabor Szathmari 曾在一份公开来源情报研究中详细提到了调查该平台负责人的全过程。
2021 年 9 月,微软公司发布了一份报告警告称,该平台向买家提供的服务很可能会导致大量网络钓鱼攻击活动。同时,该服务还收集了多名用户在网络钓鱼攻击中窃取的所有凭证。
BulletProftLink 被查封
在澳大利亚联邦警察局和联邦调查局的协助下,马来西亚警方成功捣毁了该违法平台,同时关闭了其在非法商店使用的多个域名。
11 月 6 日,警方共逮捕了八人,其中也包含该行动的头目。警方在此次行动中还缴获了藏有约 21.3 万美元的加密货币钱包、服务器、电脑、珠宝、车辆和支付卡。
执法部门在没收了该平台的服务器后,可通过进一步检查确定平台用户的身份。这些用户中,有一些会每月支付 2000 美元订阅费,这样他们就可以定期访问大量的凭证日志。
网络犯罪情报公司 Intel471s 表示,截至 2023 年 4 月,BulletProftLink 共有 8138 名活跃用户,在该平台上可访问 327 个钓鱼页面模板。
BulletProftLink面板,图源:Intel471
自微软 2021 年发布报告以来,该平台的用户数量增长了 403%,这说明该平台在网络犯罪社区中很受欢迎。
Intel 471 表示,BulletProftLink 在被关闭前提供的钓鱼资源很丰富,其中包括微软 Office、DHL、韩国在线平台 Naver 以及美国运通、美国银行、消费者信用联盟和加拿大皇家银行等金融机构的登录页面。
会员可购买钓鱼网页,图源:Intel471
为了躲避电子邮件安全工具,其中一些钓鱼网页会托管在谷歌云和微软 Azure 等合法云服务上。此外,BulletProftLink 的库存还提供 Evilginx2 反向代理工具,该工具可实现中间对手 (AITM) 网络钓鱼攻击,从而绕过多因素身份验证保护。
这是专业网络犯罪分子初步访问公司系统的重要凭证来源。攻击者一旦有了公司网络作为攻击的立足点,就可以实现快速侦察,继而横向移动到主机中实施最终攻击。
