Los ciberdelincuentes están utilizando una plataforma de phishing como servicio (PhaaS), denominada Caffeine, que permite lanzar ataques de suplantación y escalar de forma efectiva ciberataques.
Caffeine, nombre de esta plataforma PhaaS, cuenta con una interfaz intuitiva y está disponible a un coste relativamente bajo. Así lo apuntan investigadores de Mandiant, que señalan que proporciona multitud de funcionalidades y herramientas para orquestar y automatizar los elementos necesarios para campañas de phishing.
Entre las principales funcionalidades que ofrece se incluye la capacidad de crear kits de phishing personalizados, así como para la gestión de páginas de redireccionamiento, generar URLs dinánicas que alojan cargas útiles o para hacer un seguimiento de campañas.
Este hallazgo se produce mes después de que, hace poco más de un mes, Resecurity revelara otro servicio PhaaS denominado EvilProxy que se ofrece en foros de la Dark Web.
No obstante, a diferencia de EvilProxy, que evalúa a los posibles clientes antes de activar las suscripciones, Caffeine tiene un registro abierto, lo que permite que cualquier persona con una dirección de correo electrónico pueda registrarse y utilizar sus servicios.
Este enfoque sin restricciones no solo evita la necesidad de acercarse a los cibercriminales en foros clandestinos o solicitar una referencia de un usuario existente, sino que también permite que Caffeine amplíe rápidamente su clientela y reduzca la barrera de entrada.
Qué hace diferente a Caffeine
Los servicios de PhaaS generalmente implican que un operador desarrolle e implemente una parte importante de las campañas de phishing desde páginas de inicio de sesión falsas, alojamiento de sitios web, plantillas de sitios y robo de credenciales.
La evolución de las amenazas de phishing basadas en correo electrónico hacia esta estas plataformas de servicios implica que aquellos que pretenden realizar ataques de phishing ahora solo tienen que comprar estos recursos e infraestructura sin tener que trabajar en ellos. Así es como funciona Caffeine.
Tan solo es necesario que los usuarios creen una cuenta y compren una suscripción que cuesta 250 dólares al mes (Básico), 450 dólares por tres meses (Professional), 850 dólares por una licencia de seis meses (Enterprise). Esta permite aprovechar su amplia gama de servicios, incluido un panel de gestión de campañas y un conjunto de herramientas para configurar los ataques.
En caso de Caffeine se ha detectado mientras intentaba robar las credenciales de la cuenta de Microsoft 365 de un cliente de Mandiant. Y es que muchas de estas campañas de phishing están generadas es facilitar el robo de credenciales de Microsoft 365 a través de páginas de inicio de sesión no autorizadas alojadas en sitios legítimos de WordPress.
Esto pone de manifiesto que los actores de Caffeine están aprovechando cuentas de administrador comprometidas, sitios web mal configurados o fallos en las plataformas de infraestructura web.
Claves para protegerse del phishing
Ante la proliferación de las campañas de phishing, algo que irá en aumento dadas las facilidades que aportan plataformas PhaaS como Caffeine, Hispasec Sistemas, ha publicado una serie de recomendaciones para evitar y detectar estas amenazas.
- No responder correos electrónicos en los que se solicita información personal o financiera.
- No acceder a páginas web a las que se pide acceso a través de enlaces en correos electrónicos.
- Habilitar la autenticación en dos pasos (2FA).
- No acceder desde redes públicas.
- No descargar ni abrir archivos de fuentes que no son de confianza.
- Mantener actualizado el software de todos los dispositivos y evitar el uso de aplicaciones no oficiales.
- Revisar los movimientos bancarios y de la tarjeta de crédito y en, caso de detectar operaciones no autorizadas, ponerse en contacto rápidamente con la organización emisora.