1 octobre 2021

BulletProofLink, une solution de phishing clé en main illégale

Sous-traitance pour du phishing

Le phishing ne cesse de s’améliorer grâce à de nombreux templates d’e-mails, des fausses signatures. Il y a quelques années encore les attaquants étaient obligés de tout créer d’eux-mêmes, le site, les e-mails, la stratégie de diffusion, etc. À présent cela est beaucoup plus simple, les attaquants peuvent acheter les ressources et infrastructures à d’autres attaquants spécialisés dans la gestion d’infrastructure pour fournir ce type de service.

Dans une étude publiée la semaine dernière par Microsoft, certains de leurs chercheurs en sécurité expliquent leur découverte d’une campagne de phishing ayant créé plus de 300 000 sous-domaines différents. Les attaquants utilisent une banque de plus de 100 modèles d’e-mails aux noms de grandes entreprises ou de grandes marques (Netflix, Linkedin, Microsoft, etc.). Une vraie entreprise destinée à spammer et dérober les informations des utilisateurs. Ils en sont même arrivés à réinventer le phishing pour faire du phishing en tant que service ou les attaquants peuvent payer sous forme d’abonnement mensuel.

Phishing en kit et phishing en tant que service c’est quoi ?

BulletProofLink vient révolutionner le marché du phishing avec leurs services à l’aide de différentes offres qu’ils proposent aux attaquants, cela peut même aller jusqu’à une offre de service complète, il suffit simplement de payer. Pour ce faire, ils présentent les deux offres ci-dessous :

Les kits de phishing : un kit de phishing représente généralement un fichier zip vendu en une seule fois contenant des modèles d’e-mails et un site à déployer. Les clients configurent donc eux-mêmes leurs sites web, nom de domaine, etc.

Phishing en tant que service : Cette solution est beaucoup plus clé en main. Les attaquants payent un opérateur pour réaliser l’ensemble de la campagne (création du site, déploiement, création des e-mails, etc.). L’attaquant paye en échange des informations récoltées durant la campagne.

L’avantage pour eux de proposer ce genre de prestations est dans un premier temps qu’ils peuvent vendre ces prestations sous forme d’abonnement, mais ils pratiquent également un « double vol ». En effet, les personnes ayant souscrit aux services pour faire du phishing récupèrent les informations des clients, mais les opérateurs aussi, ce qui leur permet de les revendre par la suite et ainsi obtenir une double rémunération.

 Kit de phishingPhishing en tant que service
PaiementUne foisQuotidien, mensuel, annuel
Template emailOuiOui
Template webOuiOui
Envoie des email Oui
Hébergement du site Oui
Vol des informations Oui
Vente des informations Oui
Garantie indétectable Oui

Les prestations proposées par BulletProofLink

Comme expliqué précédemment, plusieurs services sont proposés tels que des pages YouTube ou Vimeo avec des vidéos didactiques.

Photo 1 : Vidéos tutoriel d’utilisation

Outre les différents sites de phishing détenus par ces attaquants, ils ont également leur propre boutique en ligne qui permet à leurs clients de s’inscrire, voir les différentes prestations et passer des commandes.

Photo 2 : Page d’inscription BulletProofLink

Le fournisseur propose aux clients une gamme de plus 100 templates de modèles commerciaux adaptables. En achetant ces modèles, les attaquants n’ont plus qu’à expédier leurs mails, s’ils ne le font pas faire par BulletProofLink directement.

Photo 3 : Capture du site BulletProofLink avec la présentation des templates

And last but not least, un hébergement ainsi qu’un service client. Les abonnements pour ces prestations peuvent aller de 50$ à 800$ mensuels comprenant un canal Skype disponible en permanence pour le support client.

Génération de 300 000 sous-domaines

Les liens étant le nerf de la guerre dans le phishing, il faut éviter qu’ils soient blacklistés. Pour ce faire, les attaquants détournent les serveurs DNS de domaines réels et les utilisent afin d’obtenir une quantité énorme d’URL destinés au phishing. Les attaquants reconfigurent une autorisation aux sous-domaines tiers afin d’être libre d’en créer autant qu’ils le souhaitent. Cette technique est appelée « infinite subdomain abuse » et gagne en popularité ces dernières années.

Photo 4 : Chaîne d’attaque utilisée par BulletProofLink

Conclusion

Le phishing devient monnaie courante en 2021 et reste un système très lucratif. Attention, il faut garder à l’esprit que l’ensemble des prestations proposées par BulletProofLink restent illégales. Cependant, grâce au phishing as a service, il est maintenant possible pour un débutant de lancer des campagnes qui trompent réellement l’œil et paraissent plus vrai que nature. Il est donc important de rester vigilant face aux e-mails que nous recevons. Il n’est donc pas étonnant que les e-mails de phishing se bousculent dans les boîtes mails.

1 octobre 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *