Categoria: Inteligência do adversárioTipo de ameaça PhishingIndústria MúltiploRegião: GlobalFonte*: C5

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Um agente de ameaças anunciou a venda de um serviço de kit de ferramentas de phishing, chamado 'NakedPages'.
• O Toolkit afirma ser testado e eficaz para entidades de phishing como Google e Microsoft Office.

• Os dados coletados de sites de phishing podem ser vendidos na dark web.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware.

• Monitore anomalias, em contas e sistemas de usuários, que possam ser indicadores de possíveis aquisições de contas.
• Implemente o MFA em todas as contas.

CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças anunciando um aplicativo de phishing de proxy reverso/PHP “testado em batalha” chamado “NakedPages”, em um fórum de crimes cibernéticos. [caption id="attachment_19520" align="alignnone” width="1156"] Publique anúncios do aplicativo de phishing “NakedPages” ou do Phishing Toolkit [/caption]

Kit de ferramentas de análise e atribuição de phishing

Informações do Post

O anúncio no fórum de crimes cibernéticos afirma que: “O Naked Pages é a ferramenta de phishing que qualquer desenvolvedor/spammer sério precisa, com mais recursos do que qualquer outra combinação de proxy reverso ou estrutura de phishing PHP combinada.”

• A postagem menciona que existe a possibilidade de fornecer licenças de software, se o comprador puder pagar USD 1000, adiantado.
• A postagem também menciona que o projeto de código aberto está disponível no GitHub e que eles estão recrutando novos desenvolvedores para se juntarem à equipe.

Discurso de recrutamento no post

• Um formulário do Google, conforme mostrado na imagem abaixo, foi compartilhado na postagem. Os interessados em comprar o kit de ferramentas podem entrar em contato com o agente da ameaça preenchendo o formulário. Os entrevistados supostamente obtêm acesso a um repositório privado do Github.
• Não se sabe muito sobre o conteúdo do repositório. No entanto, pode-se inferir que está relacionado ao software de phishing que o ator/grupo da ameaça está desenvolvendo.

[caption id="attachment_19522" align="alignnone” width="640"] Questionário de formulários do Google para clientes interessados [/caption]

Informações de código aberto

• O kit de ferramentas de phishing NakedPages também foi anunciado em alguns canais do Telegram.
• Os canais do Telegram e o repositório do GitHub usam o mesmo logotipo para o kit de phishing anunciado.

Crie recursos do kit de ferramentas de phishing

• O software NakePages foi desenvolvido usando o NodeJS Framework e é executado usando código JavaScript gerado automaticamente.
• O binário usado para orquestrar o software é um nkp.app.
• Como o kit de ferramentas de phishing foi projetado para funcionar no Linux, ele solicita permissões R-W-X do “usuário” e outras solicitações de permissões R-X do “grupo” e de “outros”.

Funcionalidade do kit de ferramentas de phishing

Com base nas informações coletadas no Telegram e em fóruns de crimes cibernéticos, os recursos do kit de phishing são:

• Totalmente automatizado e vem pré-carregado com mais de 50 modelos/projetos de sites de phishing, no. /arquivo de projetos.
• Ele possui uma funcionalidade anti-bot totalmente integrada e testada, que é integrada ao banco de dados e detecta bots de todos os tipos de mais de 120 países.
• Configure e inicie com um clique com o comando bash setup/sh e suporte com um clique para trabalhar em um ambiente local com mkcert.
• Armazenamento de banco de dados com MongoDB.
• Geração de projeto pronta com 0 linhas de código, com o nó de comando generate-project.js.
• Configuração automática de SSL e domínio com o script bash change-domain.sh.
• Renderizando arquivos PHP e passando dados do PHP para o proxy reverso e vice-versa. Ao contrário de outros aplicativos de proxy reverso, isso foi testado na vida real para lidar com várias fontes de tráfego.
• Os ativos podem ser armazenados dentro do executável para torná-lo ainda mais portátil.
• Autenticação de sessão forte com impressões digitais e cookies. Resultados, cookies e detalhes da impressão digital do usuário são enviados para o canal Telegram configurado em config.env.
• Ele permite que os agentes de ameaças recebam resultados manualmente, decodificem respostas, adicionem cookies e filtrem usuários da configuração Js do usuário.

O ator da ameaça

• O agente da ameaça é um novo usuário do GutHub e do fórum de crimes cibernéticos, e ambas as contas têm menos de um mês.
• Não houve amostras concretas compartilhadas pelo ator da ameaça. Tentativas repetidas de estabelecer contato foram feitas por nossa fonte, mas o agente da ameaça não respondeu.

Classificação da fonte

• O ator não tem reputação no fórum.
• O banco de dados compartilhado pelo ator pode ser considerado válido, uma vez que não há reclamações contra o ator.

Portanto,

• A confiabilidade do ator pode ser avaliada C.
• A credibilidade do anúncio pode ser avaliada 5.
• Dando credibilidade geral à fonte de C5.

Referências

• *https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• O Bigbasket enfrenta uma possível violação de dados; detalhes de 2 milhões de usuários colocados à venda na dark web
• Proteja os dados de seus clientes contra violações de dados de comércio eletrônico

Apêndice

[caption id="attachment_19523" align="alignnone” width="775"] Alguns metadados sobre o agente da ameaça, de versões de patch no Github [/caption] [caption id="attachment_19524" align="alignnone” width="1083"] Canais do Telegram associados a este kit de ferramentas de phishing [/caption]