[[425154]]

在今天發(fā)布的安全公告中，微軟安全團(tuán)隊發(fā)現(xiàn)了一個大規(guī)模的活動：利用類似主機(jī)的基礎(chǔ)設(shè)施向網(wǎng)絡(luò)犯罪團(tuán)伙提供釣魚服務(wù)。該服務(wù)被稱為 BulletProofLink、BulletProftLink 或 Anthrax，目前在地下網(wǎng)絡(luò)犯罪論壇上進(jìn)行宣傳。微軟稱這項服務(wù)為“釣魚即服務(wù)”(Phishing-as-a-Service，PHaaS)模式。

該服務(wù)是在“網(wǎng)絡(luò)釣魚工具包”的基礎(chǔ)上演變而來，“網(wǎng)絡(luò)釣魚工具包”是模仿已知公司的登錄形式的網(wǎng)絡(luò)釣魚頁面和模板的集合。BulletProofLink 通過提供內(nèi)置的托管和電子郵件發(fā)送服務(wù)，將其提升到一個全新的水平。

客戶通過支付 800 美元的費用在 BulletProofLink 門戶網(wǎng)站上注冊，而 BulletProofLink 運營商則為他們處理其他一切。這些服務(wù)包括建立一個網(wǎng)頁來托管釣魚網(wǎng)站，安裝釣魚模板本身，為釣魚網(wǎng)站配置域名(URL)，向所需的受害者發(fā)送實際的釣魚郵件，從攻擊中收集憑證，然后在周末向“付費客戶”交付被盜的登錄信息。

如果犯罪團(tuán)伙想改變他們的網(wǎng)絡(luò)釣魚模板，BulletProofLink 團(tuán)伙還經(jīng)營著一個單獨的商店，威脅者可以在那里購買新模板用于他們的攻擊，每個新模板的價格從 80 美元到 100 美元不等。

正如 The Record 今天看到的那樣，BulletProofLink 商店里有大約 120 種不同的網(wǎng)絡(luò)釣魚模板。此外，該網(wǎng)站還設(shè)有教程，幫助客戶使用該服務(wù)。

但微軟的研究人員說，他們還發(fā)現(xiàn)該服務(wù)也一直在偷竊自己的客戶，保留所有收集到的憑證的副本，據(jù)信該組織以后會通過在地下市場出售這些憑證來賺錢。微軟將整個行動描述為技術(shù)演進(jìn)(technically advanced)，該組織經(jīng)常使用黑客網(wǎng)站來托管其網(wǎng)絡(luò)釣魚頁面。

在某些情況下，安全團(tuán)隊觀察到 BulletProofLink 團(tuán)伙破壞了被黑網(wǎng)站的 DNS 記錄，以便在受信任的網(wǎng)站上生成子域來承載釣魚網(wǎng)頁。微軟今天說：“在研究網(wǎng)絡(luò)釣魚攻擊時，我們發(fā)現(xiàn)一個活動使用了相當(dāng)多的新創(chuàng)建和獨特的子域--在一次運行中超過30萬個”。