Onderzoekers van securityleverancier Mandiant zijn een nieuw Phishing-as-a-Service (PhaaS)-platform op het spoor gekomen. Het zogenoemde Caffeine-platform maakt het voor niet-technische cybercriminelen makkelijk om phishingcampagnes op te starten.

Volgens de securityleverancier biedt Caffeine vrijwel iedereen de mogelijkheid om phishingcampagnes te starten. Het platform heeft een open registratie in plaats van de invites en referenties die vaak voor dit soort tools benodigd zijn.

Gebruikers kunnen gemakkelijk een account voor het platform aanmaken, waarna ze toegang krijgen tot een ‘Store’. In deze online winkel kunnen zij de voor hun campagne benodigde tooling en een overzichtsdashboard vinden. Vervolgens sluiten zij een abonnement af voor het gebruik van het platform.

Een abonnement kost ongeveer 258 euro (250 dollar) per maand, 464 euro (450 dollar) per drie maanden en 876 euro (850 dollar) per zes maanden, afhankelijk van de gebruikte features. Het platform is hiermee drie tot vijf keer zo duur als andere PhaaS-platforms, maar Caffiene biedt relatief veel functionaliteit, waaronder anti-detectiefuncties, anti-analysefuncties en een klantenservice.

Caffeine-platform

Een van de functies van Caffeine is een mechanisme voor het aanpassen van dynamische URL-schema’s en het genereren van pagina’s die vooraf kunnen worden gevuld met slachtofferinformatie.

Daarnaast levert het platform first-stage redirect-pagina’s voor campagnes en de uiteindelijke verleidingspagina’s. Verder worden er IP blocking-opties meegeleverd voor geoblocking, CIDR-range gebaseerde blocking en meer.

Cybercriminelen kunnen na het instellen van de belangrijkste parameters voor hun phishingcampagne een phishing kit uitrollen. Deze kit is tot nu toe beperkt tot een (valse) Microsoft 365-inlogpagina. Hieraan kan vervolgens een phishing template worden toegevoegd.

Op dit moment worden er alleen templates voor Russische en Chinese doelwitten meegeleverd, wat de indruk wekt dat het platform zich alleen op deze twee landen richt. De experts van Mandiant verwachten echter dat er ook andere templates beschikbaar worden, waaronder templates voor Westerse landen.

Tot slot laat het platform gebruikers eigen op Python of PHP gebaseerde e-mailtools gebruiken om mail naar doelwitten te versturen. Hiervoor hoeven zij geen tools van andere leveranciers te gebruiken.

Tegengaan van Caffeine

De software van Mandiant biedt inmiddels detectiemogelijkheden voor phishing e-mails die via het Caffeine-platform worden verzonden. Toch waarschuwt Mandiant dat de cybercriminelen die dit platform gebruiken nieuwe ontwijkingstechnieken kunnen ontwikkelen, waardoor detectie moeilijk of onmogelijk wordt.