Categoria: Inteligência do adversárioIndústria: SubterrâneoMotivação: FinanceiroRegião: GlobalFonte*: C - Bastante confiável 4 - Duvidosamente verdadeiro

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Nova plataforma de phishing como serviço chamada “Caffeine”, usada para conduzir campanhas de phishing.

• Forneça aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware, extrair dados e manter a persistência.
• Roube informações confidenciais, como PII, e explore-as por meio de ataques de engenharia social.

• Implemente uma política de senha forte.
• Ative o MFA em todos os logins.
• Verifique se há anomalias nos endpoints ou tentativas suspeitas de login.

Análise e atribuição

Informações do Post

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma nova plataforma de phishing como serviço chamada “Caffeine”.
• A plataforma pode ser aproveitada para lançar campanhas de phishing, optando por serviços de phishing que fornecem kits de phishing personalizados.
• A plataforma contém principalmente modelos de phishing personalizados para atacar entidades russas e chinesas.

[caption id="attachment_21680" align="alignnone” width="652"] Página de login da plataforma [/caption]

Análise da plataforma de cafeína

• A plataforma é aberta a todos e não requer nenhum código de referência para se registrar.
• Ao se registrar na plataforma, o agente da ameaça pode comprar uma licença de assinatura que varia de acordo com o operador e os recursos:
  • USD 250 por um mês
  • USD 450 por 3 meses
  • USD 850 por 6 meses
• A plataforma também oferece sistemas antidetecção e anti-análise e serviços de suporte ao cliente junto com a assinatura, tornando-a cara em comparação com outras plataformas de phishing como serviço.
• Além dos serviços de phishing, a plataforma também oferecia os seguintes recursos:
  • Mecanismos para personalizar esquemas de URL dinâmicos para ajudar a gerar sites dinamicamente com dados específicos da vítima já preenchidos
  • Páginas de atração definitivas e páginas de redirecionamento de primeiro estágio para campanhas.
  • Bloqueio geográfico, bloqueio baseado em intervalo CIDR e outras opções de lista de bloqueio de IP
• No momento em que escrevo isso, a plataforma parece estar temporariamente inativa devido a problemas de manutenção.

[caption id="attachment_21681" align="alignnone” width="453"] Loja em manutenção [/caption]

Análise do serviço de cafeína

• Os pesquisadores da CloudSek investigaram os serviços disponíveis na plataforma “Caffeine” e descobriram que o agente da ameaça estava usando indevidamente um serviço on-line chamado - ongraphy [.] com, que é uma plataforma SaaS sem código para hospedar sites ou aplicativos para lançar sites de negócios de ensino.
• Serviços SaaS semelhantes são rapidamente abusados e adotados por outros agentes de ameaças para hospedar páginas maliciosas.
• Uma antiga página de phishing foi hospedada e divulgada por e-mail (“eduardorodiguez9584. [ongrafia.] com”)

Informações do fórum sobre crimes cibernéticos

• A plataforma “Caffeine” surgiu em outubro de 2021, quando o ator da ameaça chamado “MrXcoder” fez uma propaganda sobre a loja e o remetente do office365.
• O agente da ameaça também opera no telegrama, onde atualizações regulares e novas ferramentas da plataforma são anunciadas.
• A demonstração em vídeo das ferramentas de spam em Python da plataforma Caffeine foi anunciada no crax tube.

Informações da OSINT

• O canal Telegram da plataforma promoveu vários bots e um ladrão de cookies do Office 2FA. No canal, o seguinte foi anunciado:
  • Remetente de cafeína
  • Redirecionamento de cafeína
  • Bot do Telegram do OfficeTools FUD
  • KIT Chase Bank
  • Serviço FUD Links
  • Kit Boa
  • Kit do Banco Islâmico de Dubai
  • Ladrão de cookies do Office 365
• O agente da ameaça ou administrador da Caffeine Store fez uma pesquisa no Telegram para perguntar sobre o próximo kit de phishing.

Como os serviços oferecidos podem ser abusados?

• Os kits de phishing para o Chase Bank, o Bank of America e o Dubai Islamic Bank são anunciados no canal Telegram do serviço, junto com um serviço para criar URLs de phishing FUD que podem ser usados para lançar extensas campanhas de phishing e ataques.
• O ladrão de cookies Office 2FA pode ser usado para roube cookies 2FA, PII da vítima e colete registros.
• Fornece um modelo de e-mail para enviar spam para clientes e atrair vítimas.
• O domínio Ongraphy serviu como um redirecionamento para uma página de phishing hospedada em um domínio de terceiros que imita a aparência do site oficial da prática médica de um oftalmologista italiano.

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAliasMrxCoderActive Since2021ReputationMediumCurrent StatusActiveTelegramt.me/CaffeineStore_News [número decente de assinantes] @mrxc0der @mrxc0deriiICQ https://icq.im/caffeineCrax Tube https://crax.tube/@caffeinestoreUnderground Forum https://www.nulled.to/user/1018926-mrxc0derHistoryThreat ator anunciou sobre a loja de cafeína e a pesquisa gratuita de operadoras BoTratingC4 (C: Fairly Reliable; 4: Dubitfully True)

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Relatório da Mandiant Caffeine

Apêndice

[caption id="attachment_21682" align="alignnone” width="1254"] Anúncio no fórum de crimes cibernéticos [/caption] [caption id="attachment_21683" align="alignnone” width="917"] Captura de tela do canal Telegram [/caption] [caption id="attachment_21684" align="alignnone” width="896"] Canal Telegram [/caption] [caption id="attachment_21685" align="alignnone” width="1716"] Painel de controle da cafeína [/caption] [caption id="attachment_21686" align="alignnone” width="1688"] Painel de controle da cafeína [/caption] [caption id="attachment_21687" align="alignnone” width="400"] Logotipo da Caffeine Store [/caption]