微软揭露一次可操作30万个子网域的BulletProofLink网钓即服务

微软Microsoft 365 Defender威胁情报团队在21日，揭露了一个规模庞大的网钓即服务BulletProofLink，该服务建立了逾30万子网域，供应超过100种不同品牌与服务的网钓范本，提供一次性租赁或按月订阅服务，而且还会把客户执行攻击所窃取的凭证收归己有。

根据微软的调查，BulletProofLink同时推出了网钓套件及网钓即服务（PhaaS），前者只要支付一次性的价格，便能取得网钓电子邮件及网站的范本，PhaaS则是订阅服务，除了电子邮件及网站范本之外，还提供邮件递送、网站代管、窃取凭证、凭证递送与不被侦测的连结／纪录等，等于是个一站购足的服务。

图片来源_微软

此外，不管是套件或是PhaaS，BulletProofLink都实施了双重窃盗手法，在网钓套件中嵌入一个程式，把客户所窃取的凭证传送一份至BulletProofLink，而在PhaaS上也留下一份被窃凭证的副本。

BulletProofLink从2018年就开始运作，而且有许多别名，包括BulletProftLink、BulletProofLink与Anthrax，并在YouTube及Vimeo上设有官方频道，也透过骇客论坛或其它网站来行销网钓服务。

图片来源_微软

分析显示，BulletProofLink的经营者也许是透过危害网站的DNS，或是所危害的网站刚好允许Wildcard子网域，而使得他们得以无限地滥用这些子网域，只要渗透一个网域，就能提供独立的网钓网址予每个受害者，这可节省骇客的成本，创造大量的网钓网域，也更容易躲过恶意网域的侦测机制。

BulletProofLink所发送的电子邮件还利用zero-point font技术，于邮件中隐藏不可见的字元，来混淆邮件主体与企图闪避侦测。

在研究了BulletProofLink的手法及技术之后，微软已把所得到的情报用来改善Microsoft Defender for Office 365，强化其防范网钓攻击的能力。