‘Caffeine’ adlı bir hizmet olarak kimlik avı (PhaaS) platformu, herkesin müdahale etmesine ve kendi kimlik avı kampanyalarını başlatmasına olanak tanıyan açık bir kayıt sürecine sahip, tehdit aktörlerinin saldırı başlatmasını kolaylaştırır.
Kafein davetiye veya yönlendirme gerektirmez ve tehdit aktörlerinin Telegram’daki bir yöneticiden veya bir bilgisayar korsanlığı forumundan onay almasını gerektirmez. Bu nedenle, bu tür hemen hemen tüm platformları karakterize eden sürtünmenin çoğunu ortadan kaldırır.
Kafeinin bir diğer ayırt edici özelliği, kimlik avı şablonlarının Rus ve Çin platformlarını hedef alması, buna karşın PhaaS platformlarının çoğunun Batı hizmetlerine yönelik yemlere odaklanma eğiliminde olmasıdır.
Mandiant’ın analistleri Kafeini kapsamlı bir şekilde keşfetti ve test etti ve bugün, düşük giriş bariyeri göz önüne alındığında endişe verici derecede zengin özelliklere sahip bir PhaaS olduğunu bildirdi.
Siber güvenlik firması, Caffeine’i ilk olarak hizmet üzerinden yürütülen ve Mandiant’ın müşterilerinden birinin Microsoft 365 hesap kimlik bilgilerini çalmayı hedefleyen büyük ölçekli bir kimlik avı kampanyasını araştırdıktan sonra tespit etti.
Kimlik avı kampanyalarını körüklemek
Kafein, hesap oluşturmayı gerektirir, bunun ardından operatör, kimlik avı kampanyası oluşturma araçları ve bir genel bakış panosu içeren “Mağaza”ya anında erişim sağlar.
Daha sonra operatörler, özelliklerine bağlı olarak aylık 250 ABD Doları, üç aylık 450 ABD Doları veya altı aylık 850 ABD Doları tutarında bir abonelik lisansı satın almalıdır.
Bu, tipik PhaaS abonelik maliyetinin kabaca 3-5 katıdır ve Kafein, algılama önleme ve analiz önleme sistemleri ve müşteri destek hizmetleri sunarak bunu telafi etmeye çalışır.
Kimlik avı seçenekleri açısından, platform tarafından sunulan gelişmiş özelliklerden bazıları şunlardır:
- Kurbana özel bilgilerle önceden doldurulmuş sayfaları dinamik olarak oluşturmaya yardımcı olmak için dinamik URL şemalarını özelleştirmeye yönelik mekanizmalar.
- Birinci aşama kampanya yönlendirme sayfaları ve son cazibe sayfaları.
- Coğrafi engelleme, CIDR aralığı tabanlı engelleme vb. için IP engelleme listesi seçenekleri.
Ana kimlik avı kampanyası parametrelerini ayarladıktan sonra, operatörlerin şu anda bir Microsoft 365 oturum açma sayfasıyla sınırlı olan kimlik avı setini dağıtması ve ardından bir kimlik avı şablonu seçmesi gerekecektir.
Kafein, Microsoft 365 ve Çin ve Rus platformları için çeşitli yemler dahil olmak üzere çeşitli kimlik avı şablonu seçenekleri sunar. Mandiant yakında daha fazlasının ekleneceğine inanıyor.
Platform ayrıca operatörlerin kendi Python veya PHP tabanlı e-posta yönetim yardımcı programını kullanarak hedeflerine kimlik avı e-postaları göndermelerine izin vererek harici araçlara olan ihtiyacı azaltır.
Mandiant, Kafein destekli kimlik avı e-postalarını yakalamak için tespit kılavuzu sunarken, analistler, sahtekarların bu raporun bölümünü geçersiz kılabilecek yeni kaçırma tekniklerini benimseme olasılığının altını çiziyor.
Ne yazık ki, Kafein, otomatik platform arayışında olan düşük becerili siber suçlulara sunulan seçeneklere eklenen başka bir seçenektir ve bu, koleksiyonuna daha fazla şablon eklenirse daha büyük bir sorun haline gelebilir.