Actualités

“Héberger et […] générer des pages de phishing de haute qualité” : mise en lumière de Frappo, un nouveau Phishing-as-a-Service !

L’équipe Resecurity Hunter, depuis le 28 Avril 2022, vient de mettre en lumière un PaaS assez sophistiqué : du nom de Frappo, il cible en partie des sites Web financiers pour offrir des outils multi-services, pour mieux tromper sa victime et ex-filtrer ses données.

 

 

“Frappo agit comme un phishing en tant que service – offrant une facturation anonyme, un support technique, des mises à jour et le suivi des références collectées via un tableau de bord. Initialement, le service est apparu dans le Dark Web vers le 22 Mars 2022 […] Plus récemment, il a fourni des pages de phishing pour plus de 20 institutions financières (FIS), des retails en ligne et des services populaires tels que Uber […] les acteurs ont pu publier «Frappo» dans le Chrome Store, cela a été fait sous la forme d’une extension qui accorde une activation instantanée […] Les auteurs de «Frappo» fournissent plusieurs plans de paiement pour les cybercriminels en fonction de la durée de l’abonnement choisie. Comme un service et une plate-forme basés sur le SaaS pour les entreprises légitimes, «Frappo» permet aux cybercriminels de minimiser les coûts de développement de kits de phishing et de l’utiliser à plus grande échelle. Le support client est disponible via un télégramme sécurisé Secure IM, et dans le groupe, c’est plus de 1 965 membres –  […] Nous avons également identifié un fichier «.env» qui contenait des paramètres clés et des clés publiques pour chiffrer les journaux qui seront ensuite livrés à «Frappo» via API: Les pages de phishing observées (ou «Phishlets») sont de haute qualité et contiennent des scénarios interactifs qui incitent les victimes à saisir les références d’autorisation“, indique le billet technique, tout en soulignant que les banques en ligne, le e-commerce, les vendeurs “populaires” et d’autres services en ligne ont été impactés.

 

Condensé des acteurs numériques ou économiques ciblés Frappo, qui exploite ces sites en tant que (faux) sites-miroir :

 

“banques uniques” (Canada, essentiellement)“interac” (templates pour ex-filtration de données de paiement)“USA” (banques aux Etats-Unis, essentiellement)“autres” (front-ends, autorisations-client)“CVV Fullz” (templates, applications populaires ou prisées)Templates (transactions de paiements)
ScotiaFullzM and TRoundcubleAmazonAmex
BMOCustomWells FargoTelus profileUberDiscover
CIBCCostcoNetflix USAe-mail adapterNetflixDiners
ATBChaseRogersMastercard
RBCCitizensUnionPay
TangerineCitiRussian MYR
TDBOA
Desjardins

 

Une fois que la victime-internaute a cliqué sur un lien d’un des sites frauduleux (miroir), un “phishlet” (page de phishing) est mis en place (une autre page, tronquée) qui incitera l’utilisateur à cliquer sur un des liens pour initier un “assistant intéractif“. De là et suivant la nature de sa navigation initiale (si l’utilisateur venait pour voir les dernières productions Netflix, par exemple), l’algorithme re-dirigera vers le site – tronqué – en question. Adaptatif, ce PaaS est compatible en version mobile (iOS, Android) et affichera tout un tas de données (analytiques, notamment, jusqu’au nombre de victimes ayant ouvert les pages ou ayant validé, par clic, la viralité ; ou encore via une journalisation avec l’agent-user, l’IP, le mode de passe, entre-autres) et dispose d’une option de verrouillage par localité (géographique) pour diffuser ou non le kit de phishing.

 

L’ex-filtration de données (dont financière) se fait via un flux-réseau SSH (entre-autre) depuis 192 [.] 227 [.] 131 [.] 120. L’ensemble est envoyé sous un fichier via une API dédiée (paramètres + clés publiques – chiffrement)… A veiller !

 

 

 

 

Source : Blog Resecurity Hunder – 28 Avril 2022 – Frappo : nouveau PaaS (Phishing-as-a-Service).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6