微軟Microsoft 365 Defender威脅情報團隊在21日,揭露了一個規模龐大的網釣即服務BulletProofLink,該服務建立了逾30萬子網域,供應超過100種不同品牌與服務的網釣範本,提供一次性租賃或按月訂閱服務,而且還會把客戶執行攻擊所竊取的憑證收歸己有。
根據微軟的調查,BulletProofLink同時推出了網釣套件及網釣即服務(PhaaS),前者只要支付一次性的價格,便能取得網釣電子郵件及網站的範本,PhaaS則是訂閱服務,除了電子郵件及網站範本之外,還提供郵件遞送、網站代管、竊取憑證、憑證遞送與不被偵測的連結/紀錄等,等於是個一站購足的服務。
圖片來源_微軟
此外,不管是套件或是PhaaS,BulletProofLink都實施了雙重竊盜手法,在網釣套件中嵌入一個程式,把客戶所竊取的憑證傳送一份至BulletProofLink,而在PhaaS上也留下一份被竊憑證的副本。
BulletProofLink從2018年就開始運作,而且有許多別名,包括BulletProftLink、BulletProofLink與Anthrax,並在YouTube及Vimeo上設有官方頻道,也透過駭客論壇或其它網站來行銷網釣服務。
圖片來源_微軟
分析顯示,BulletProofLink的經營者也許是透過危害網站的DNS,或是所危害的網站剛好允許Wildcard子網域,而使得他們得以無限地濫用這些子網域,只要滲透一個網域,就能提供獨立的網釣網址予每個受害者,這可節省駭客的成本,創造大量的網釣網域,也更容易躲過惡意網域的偵測機制。
BulletProofLink所發送的電子郵件還利用zero-point font技術,於郵件中隱藏不可見的字元,來混淆郵件主體與企圖閃避偵測。
在研究了BulletProofLink的手法及技術之後,微軟已把所得到的情報用來改善Microsoft Defender for Office 365,強化其防範網釣攻擊的能力。
熱門新聞
2024-12-16
2024-12-16
2024-12-17
2024-12-16