Frappo, un nuevo phishing as-a-service

Un nuevo servicio clandestino llamado “Frappo”, que está disponible en la Dark Web se identificó por un grupo de investigadores actuando como Phishing-as-a-Service. Esto permite a los ciberdelincuentes alojar y generar páginas de phishing de alta calidad que se hacen pasar por los principales servicios bancarios en línea, comercio electrónico, minoristas populares y servicios en […]

Un nuevo servicio clandestino llamado “Frappo”, que está disponible en la Dark Web se identificó por un grupo de investigadores actuando como Phishing-as-a-Service.

Esto permite a los ciberdelincuentes alojar y generar páginas de phishing de alta calidad que se hacen pasar por los principales servicios bancarios en línea, comercio electrónico, minoristas populares y servicios en línea para robar datos de clientes.

La plataforma ha sido construida por ciberdelincuentes para aprovechar las campañas de spam que distribuyen contenido de phishing profesional. “Frappo” se anuncia activamente en la Dark Web y en Telegram, donde tiene un grupo con más de 1.965 miembros activos. Allí, los ciberdelincuentes comentan el éxito que han tenido al atacar a los clientes de varios servicios en línea.

Inicialmente, el servicio apareció en Dark Web alrededor del 22 de marzo de 2021 y se ha actualizado significativamente desde entonces. La última actualización del servicio se registró el 1 de mayo de 2022.

“Frappo” otorga a los ciberdelincuentes la capacidad de trabajar con datos robados de forma anónima y en formato cifrado. Proporciona facturación anónima, soporte técnico, actualizaciones y el seguimiento de las credenciales recopiladas a través de un tablero.

Se diseñó inicialmente para ser una billetera de criptomonedas anónima basada en una bifurcación de Metamask y es completamente anónima, no requiere que un actor de amenazas registre una cuenta.

El servicio proporciona páginas de phishing para más de 20 instituciones financieras, minoristas en línea y servicios populares, incluidos Amazon, Uber, Netflix, Bank of Montreal (BMO), Royal Bank of Canada (RBC), CIBC, TD Bank, Desjardins, Wells Fargo, Citizens, Citi y Bank of America.

Los autores de “Frappo” ofrecen varios planes de pago para los ciberdelincuentes en función de la duración de la suscripción que hayan elegido. Al igual que una plataforma y servicios basados ​​en SaaS para negocios legítimos, “Frappo” permite a los ciberdelincuentes minimizar los costos para el desarrollo de kits de phishing y utilizarlos a mayor escala.

En particular, el proceso de implementación de páginas de phishing está completamente automatizado: “Frappo” aprovecha un contenedor Docker preconfigurado y un canal seguro que le permite recopilar credenciales comprometidas a través de API.

Una vez que “Frappo” esté correctamente configurado, se recopilarán y visualizarán datos estadísticos, como: cuántas víctimas abrieron la página de phishing, accedieron a la autorización e ingresaron las credenciales, el tiempo de actividad y el estado del servidor. Las credenciales comprometidas serán visibles en la sección “Registros” con detalles adicionales sobre cada víctima, como dirección IP, agente de usuario, nombre de usuario, contraseña, etc.

Las páginas de phishing observadas (o “phishlets”) son de alta calidad y contienen escenarios interactivos que engañan a las víctimas para que ingresen las credenciales de autorización.