Les autorités malaisiennes ont récemment annoncé un succès significatif dans la lutte contre la cybercriminalité : le démantèlement du groupe BulletProofLink, spécialisé dans le Phishing-as-a-Service (PhaaS).
D’après les informations fournies par la Police Royale de Malaisie, cette opération a été réalisée le 6 novembre 2023 en collaboration avec la Police Fédérale Australienne et le Bureau Fédéral d’Investigations des États-Unis (FBI). L’intervention était basée sur des renseignements indiquant que les opérateurs de cette plateforme criminelle étaient basés en Malaisie.
Au cours de cette opération, huit individus, âgés de 29 à 56 ans, ont été arrêtés, y compris le cerveau de cette organisation criminelle. Ces arrestations ont eu lieu dans diverses régions telles que Sabah, Selangor, Perak et Kuala Lumpur, comme rapporté par le New Straits Times.
Les autorités ont également saisi des serveurs, des ordinateurs, des bijoux, des véhicules et des portefeuilles de cryptomonnaies contenant environ 213 000 dollars.
BulletProofLink, également connu sous le nom de BulletProftLink, est réputé pour fournir des modèles de phishing prêts à l’emploi via des abonnements. Ces modèles permettent à d’autres acteurs malveillants de mener des campagnes de collecte de données en imitant les pages de connexion de services populaires tels qu’American Express, Bank of America, DHL, Microsoft et Naver.
En septembre 2021, une analyse de Microsoft a révélé que BulletProofLink pratiquait ce qu’on appelle le « vol double », en envoyant les informations d’identification volées à la fois à leurs clients et aux développeurs principaux, ouvrant ainsi de nouvelles voies de monétisation.
La semaine dernière, la société de cybersécurité Intel 471 a rapporté que BulletProftLink était associé à l’acteur de menace AnthraxBP, également connu sous les pseudonymes TheGreenMY et AnthraxLinkers. Ce dernier maintenait un site web actif proposant des services de phishing et opérait sur divers forums clandestins et canaux Telegram sous plusieurs identités.
BulletProftLink serait actif depuis au moins 2015, avec une boutique en ligne ayant plus de 8 138 clients actifs et offrant 327 modèles de pages de phishing jusqu’en avril 2023.
Une caractéristique notable de BulletProftLink est son intégration d’Evilginx2, facilitant les attaques de type adversary-in-the-middle (AiTM), permettant aux acteurs malveillants de dérober des cookies de session et de contourner les protections d’authentification multifactorielle.
Selon Intel 471, les schémas PhaaS comme BulletProftLink alimentent davantage d’attaques, car les identifiants volés sont l’une des principales méthodes par lesquelles les pirates malveillants accèdent aux organisations.
Trend Micro souligne que les acteurs de menaces adaptent constamment leurs tactiques en réponse aux interruptions et adoptent des approches plus sophistiquées. On a observé des attaques AiTM utilisant des liens intermédiaires vers des documents hébergés sur des solutions d’échange de fichiers, comme DRACOON, contenant des URL vers des infrastructures contrôlées par les adversaires.
Ces méthodes innovantes peuvent contourner les mesures de sécurité des emails, car le lien initial semble provenir d’une source légitime et aucun fichier n’est transmis au terminal de la victime. Le document hébergé contenant le lien peut être consulté via le serveur d’échange de fichiers dans le navigateur.
Trend Micro
Plus d’information:
https://intel471.com/blog/malaysian-police-disrupt-the-phisherman
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html
https://github.com/kgretzky/evilginx2
https://www.rmp.gov.my/news-detail/2023/11/08/video-pilihan-op-khas-bulletproftlink-hasil-rampasan
https://www.nst.com.my/news/crime-courts/2023/11/976212/igp-police-arrest-eight-people-international-syndicate-which#google_vignette
