微软Microsoft 365 Defender威胁情报团队在21日,披露了一个规模庞大的网络钓鱼即服务BulletProofLink,该服务创建了超过30万子域名,供应超过100种不同品牌与服务的网络钓鱼范本,提供一次性租赁或按月订阅服务,而且还会把客户执行攻击所窃取的凭证收归己有。
根据微软的调查,BulletProofLink同时推出了网络钓鱼组件及网络钓鱼即服务(PhaaS),前者只要支付一次性的价格,便能取得网络钓鱼电子邮件及网站的范本,PhaaS则是订阅服务,除了电子邮件及网站范本之外,还提供邮件传送、网站托管、窃取凭证、凭证传送与不被侦测的连接/记录等,等于是个一站购足的服务。
图片来源_微软
此外,不管是组件或是PhaaS,BulletProofLink都实施了双重窃盗手法,在网络钓鱼组件中嵌入一个程序,把客户所窃取的凭证发送一份至BulletProofLink,而在PhaaS上也留下一份被窃凭证的副本。
BulletProofLink从2018年就开始运行,而且有许多别名,包括BulletProftLink、BulletProofLink与Anthrax,并在YouTube及Vimeo上设有官方频道,也通过黑客论坛或其它网站来营销网络钓鱼服务。
图片来源_微软
分析显示,BulletProofLink的经营者也许是通过危害网站的DNS,或是所危害的网站刚好允许Wildcard子域名,而使得他们得以无限地滥用这些子域名,只要渗透一个域名,就能提供独立的网络钓渔网址给每个受害者,这可节省黑客的成本,创造大量的网络钓鱼域名,也更容易躲过恶意域名的侦测机制。
BulletProofLink所发送的电子邮件还利用zero-point font技术,于邮件中隐藏不可见的字符,来混淆邮件主体与企图闪避侦测。
在研究了BulletProofLink的手法及技术之后,微软已把所得到的情报用来改善Microsoft Defender for Office 365,强化其防范网络钓鱼攻击的能力。