Nakon gašenja LabHost-a u aprilu 2024. godine, novi igrač se pojavio u Phishing-as-a-Service (PhaaS) pejzažu, pozicionirajući se kao nasljednik nekada dominantne platforme.
SheByte, koji je službeno brendirao svoje usluge na Telegramu u maju 2024. prije nego što je u potpunosti pokrenut sredinom juna, brzo je izrezao značajan dio kanadskog pejzaža phishing prijetnji nudeći sofisticiranu infrastrukturu za phishing ciljanu na finansijske institucije.
SheByte-ov poslovni model vrti se oko premium paketa mjesečne pretplate od 199 USD, sa dostupnim popustima za duže obaveze.
.webp)
Ova pretplata korisnicima daje neograničen pristup statičnim i prilagodljivim kompletima za krađu identiteta koji ciljaju na 17 kanadskih banaka, 4 banke sa sjedištem u SAD-u, provajdere e-pošte, telekom kompanije i usluge kriptovaluta.
Usluga se namjerno reklamira kao da upravlja jednim programerom – direktan odgovor na zabrinutost koja je nastala nakon što su pojedinačni programeri LabHost-a bili kompromitovani od strane organa za provođenje zakona.
Dok je uklanjanje LabHost-a u početku smanjilo napade phishing brenda Interac koji su ciljali kanadske banke za polovinu, SheByte je brzo popunio prazninu.
Istraživači kompanije Fortra su primijetili da je SheByte činio 8% phishing napada sa brendom Interac u maju 2024., popevši se na 10% nakon potpunog objavljivanja platforme u junu, demonstrirajući njegov rastući uticaj u kriminalnom ekosistemu.
Analitičari Fortre identifikovali su značajnu inovaciju u februaru 2025. kada je SheByte objavio svoj “v2” prilagodljiv Interac komplet za njihov alat za pravljenje stranica, što je izazvalo mjerljiv porast aktivnosti phishinga u kanadskim bankama.
Platforma s ponosom reklamira svoju LiveRAT kontrolnu tablu, koja omogućava hakerima da prate phishing posjete u realnom vremenu, presreću višefaktorne kodove za autentifikaciju i traže dodatne informacije od žrtava.
Mogućnosti platforme protiv detekcije predstavljaju sofisticirani izazov za profesionalce u oblasti bezbjednosti. SheByte-ove postavke izbjegavanja omogućavaju korisnicima da blokiraju određene geografske regije, poznate VPN-ove , proxy servere i promet sa sumnjivih virtuelnih mašina.
Za dodatnu zaštitu, usluga nudi više opcija implementacije CAPTCHA za filtriranje istraživača sigurnosti i automatizovanih alata za skeniranje.
Tehnički indikatori i taktike izbjegavanja
SheByte phishing kompleti mogu se identifikovati pomoću specifičnih tehničkih markera. Sada povučeni v1 Interac komplet koristi datoteku “start.php” u direktoriju “/go/” kao svoju odredišnu stranicu.
Noviji v2 kompleti koriste konvenciju imenovanja od osam nasumičnih alfanumeričkih znakova za PHP datoteke, iako ovaj obrazac ostaje dosljedan u svim kampanjama umjesto da generiše jedinstvena imena po phishing instanci.
Imenovanje datoteka i direktorija slijedi slične obrasce, pri čemu direktoriji koriste sekvence od osam znakova, dok prijemnik obrazaca i komponente LiveRAT koriste imena od sedam ili devet znakova.
Ovi tehnički otisci prstiju omogućavaju sigurnosnim timovima da otkriju SheByte kampanje , iako usluga neprestano razvija svoju taktiku.
LiveRAT mogućnosti su posebno zabrinjavajuće, jer omogućavaju manipulaciju iskustvom žrtve u realnom vremenu, omogućavajući napadačima da prilagode svoj pristup na osnovu ponašanja žrtve i potencijalno zaobiđu standardne sigurnosne mjere.
Izvor: CyberSecurityNews
