Awas! Phishing-as-a-Service Banyak Digunakan Cybercriminal

"Platform ini memiliki UI yang sederhana dan datang dengan biaya yang relatif rendah sambil menawarkan kepada pelanggan kriminalnya sejumlah besar fitur dan alat untuk mengatur dan mengotomatisasi komponen penting dari operasi phishing mereka," kata Mandiant dalam sebuah laporan baru-baru ini.

Fitur utama platform ini mencakup kemampuan untuk membuat phishing kit yang dipesan lebih dahulu, mengelola halaman redirect, membuat URL yang berisi payload secara dinamis, dan melacak keberhasilan operasi.

Berita itu muncul sedikit lebih dari sebulan setelah Resecurity mengungkapkan layanan PhaaS lain yang disebut EvilProxy, yang dijual di forum kriminal dark web.

Namun, tidak seperti EvilProxy, yang administratornya diketahui menyaring calon klien sebelum mengaktifkan langganan, Caffeine memiliki proses pendaftaran terbuka, memungkinkan siapa saja yang memiliki alamat email untuk mendaftar ke layanan tersebut.

Strategi bebas pembatasan ini tidak hanya menghilangkan kebutuhan caffeine untuk mendekati aktor di forum underground atau memerlukan referensi dari pengguna yang ada, tetapi juga memungkinkan caffeine untuk dengan cepat meningkatkan pelanggannya dan mengurangi penghalang untuk masuk.

Toolkit PhaaS membedakan dirinya lebih jauh dengan menyediakan template email phishing untuk digunakan melawan target China dan Rusia.

"Meskipun penggunaan platform phishing bukanlah strategi baru untuk memfasilitasi serangan, perlu disebutkan bahwa solusi kaya fitur seperti itu, seperti Caffeine, mudah diakses oleh cybercriminal," kata para peneliti.

Mayoritas operasi phishing, termasuk halaman masuk palsu, hosting situs web, template situs, dan pencurian kredensial, umumnya dikembangkan dan diterapkan oleh operator.

Karena ancaman phishing berbasis email telah berkembang menjadi ekonomi berbasis layanan, musuh yang ingin melakukan serangan phishing sekarang dapat membeli sumber daya dan infrastruktur tersebut tanpa harus mengerjakannya sendiri. Caffeine tidak terkecuali.

Ini mengharuskan pengguna untuk membuat akun dan membeli langganan dengan biaya $250 per bulan (Basic), $450 selama tiga bulan (Profesional), atau $850 untuk lisensi enam bulan (Enterprise) untuk mengakses berbagai layanannya, yang meliputi dasbor manajemen operasi dan alat konfigurasi serangan.

Tujuan akhir dari operasi phishing adalah untuk memfasilitasi pencurian kredensial Microsoft 365 melalui halaman login nakal yang dihosting di situs WordPress yang sah, menyiratkan bahwa aktor Caffeine menyebarkan kit menggunakan akun admin yang disusupi, situs web yang salah konfigurasi, atau vulnerabilitas dalam infrastruktur web platform.

Sementara halaman login sekarang terbatas pada umpan pemanen kredensial Microsoft 365, perusahaan intelijen ancaman milik Google menyatakan bahwa format halaman login lain mungkin disertakan di masa mendatang berdasarkan permintaan pelanggan.

"Penting juga untuk diingat bahwa bertahan melawan serangan PhaaS bisa menjadi permainan kucing dan tikus," tambah Mandiant. "Infrastruktur baru dapat disiapkan secepat infrastruktur aktor ancaman diturunkan."