研究人员警告网络犯罪分子使用新的“钓鱼即服务”

网络犯罪分子正在使用一个以前未经记录的网络钓鱼即服务（PhaaS）工具包，名为咖啡因以有效地扩大他们的攻击并分发邪恶的有效载荷。

Mandiant在一份新报告中表示：“该平台具有直观的界面，成本相对较低，同时为其犯罪客户提供了多种功能和工具，以协调和自动化其网络钓鱼活动的核心要素”。

该平台提供的一些核心功能包括定制钓鱼工具包、管理重定向页面、动态生成承载有效负载的URL以及跟踪活动成功的能力。

一个多月前，Resecurity发布了另一个名为EvilProxy的PhaaS服务，该服务在黑暗网络犯罪论坛上出售。

但与EvilProxy不同的是，众所周知，EvilProxi的运营商在激活订阅之前会对潜在客户进行审查，Caffeine以运行开放注册流程而闻名，有效地使任何拥有电子邮件地址的人都可以注册该服务。

这种无限制的方法不仅不需要在地下论坛上与演员接触，也不需要现有用户的推荐，还允许咖啡因迅速扩大其客户群，降低进入门槛。

由于PhaaS工具包提供了针对中国和俄罗斯目标的钓鱼电子邮件模板，因此它与其他工具更为不同。

研究人员表示：“虽然使用网络钓鱼平台肯定不是一种促进攻击的新机制，但值得注意的是，网络犯罪分子很容易获得诸如咖啡因等功能丰富的选项”。

PhaaS服务通常需要运营商开发和部署大量网络钓鱼活动，包括虚假登录页面、网站托管、网站模板和凭证盗窃。

基于电子邮件的网络钓鱼威胁演变为基于服务的经济意味着，旨在实施网络钓鱼攻击的对手现在可以简单地购买此类资源和基础设施，而无需自己动手。咖啡因也不例外。

它要求用户创建一个帐户，并购买每月250美元（基本版）、三个月450美元（专业版）或六个月许可证850美元（企业版）的订阅，以利用其广泛的服务，包括活动管理仪表板和配置攻击的工具。

网络钓鱼活动的最终目标是通过合法WordPress网站上托管的恶意登录页面，帮助盗取Microsoft 365凭据，这表明咖啡因参与者正在利用受威胁的管理员帐户、配置错误的网站或网络基础设施平台中的缺陷来部署工具包。

虽然登录页面目前仅限于Microsoft 365凭证收集诱饵，但谷歌旗下的威胁情报公司指出，未来可能会根据客户需求引入其他登录页面格式。

曼迪安特说：“同样重要的是要记住，针对PhaaS攻击的防御措施可能是一场猫捉老鼠的游戏”。“只要威胁因素基础设施被拆除，新的基础设施就可以启动”。