La célèbre plateforme de phishing-as-a-service (PhaaS) BulletProftLink, qui fournissait plus de 300 modèles de phishing, a été saisie, a annoncé la police royale malaisienne.

L’opération a débuté en 2015, mais est apparue plus tard sur le radar des chercheurs et est devenue plus active depuis 2018 et comptait des milliers d’abonnés, certains d’entre eux payant pour accéder à des lots de journaux d’informations d’identification.

Les plates-formes PhaaS fournissent aux cybercriminels des outils et des ressources pour mener des attaques de phishing via des kits et des modèles « prêts à l’emploi », l’hébergement de pages, des options de personnalisation, la collecte d’informations d’identification et des outils de proxy inverse.

L’opération BulletProftLink a déjà été documentée. En 2020, un expert en cybersécurité Gabor Szathmari détaillé dans une série en trois parties de recherches sur le renseignement open source [1, 2, 3] comment il a lié avec une grande confiance l’opérateur du service à un ressortissant malaisien vivant une vie de luxe.

Un rapport de Microsoft de septembre 2021 mettait en garde contre le volume élevé d’attaques de phishing que cela pourrait faciliter et le grand nombre de modèles disponibles pour les acheteurs. Le service a également collecté tous les identifiants volés par ses abonnés (1 618 à l’époque) lors d’attaques de phishing.

BulletProftLink cassé

Aidé par la police fédérale australienne et le FBI la police malaisienne a réussi à démanteler l’opération et à supprimer plusieurs domaines utilisés par la boutique illégale.

Le la police a arrêté huit personnes Le 6 novembre, l’un d’eux, un autodidacte, serait le chef de l’opération. Les autorités ont également saisi des portefeuilles de crypto-monnaie contenant environ 213 000 dollars, des serveurs, des ordinateurs, des bijoux, des véhicules et des cartes de paiement.

Une fois les serveurs confisqués, les forces de l’ordre peuvent les examiner pour identifier les utilisateurs de la plateforme, certains d’entre eux payant un abonnement de 2 000 $/mois pour accéder à des lots réguliers de journaux d’informations d’identification.

Société de renseignement sur la cybercriminalité Intel471dit qu’en avril 2023, BulletProftLink comptait 8 138 abonnés actifs ayant accès à 327 modèles de pages de phishing.

Il s’agit d’une augmentation de 403 % du nombre de clients depuis le rapport de Microsoft de 2021, ce qui reflète l’énorme popularité de la plateforme au sein de la communauté de la cybercriminalité.

Intel 471 affirme que les ressources de phishing proposées par BulletProftLink avant son retrait « incluaient des pages de connexion pour Microsoft Office, DHL, la plateforme en ligne basée en Corée du Sud Naver et des institutions financières telles qu’American Express, Bank of America, Consumer Credit Union et Royal Bank of Canada ». « .

Certaines de ces pages de phishing étaient hébergées sur des services cloud légitimes comme Google Cloud et Microsoft Azure pour échapper aux outils de sécurité de la messagerie.

L’inventaire de BulletProftLink offrait également le Malginx2 outil de proxy inverse qui permet des attaques de phishing par adversaire au milieu (AITM), qui peuvent contourner les protections d’authentification multifacteur.

L’opération constituait une source importante d’informations d’identification permettant aux cybercriminels professionnels d’obtenir un premier accès aux systèmes de l’entreprise. En prenant pied dans le réseau de l’entreprise, les attaquants peuvent lancer la phase de reconnaissance et se déplacer latéralement vers des hôtes précieux.