新的 SheByte PaaS 为网络犯罪分子提供 199 美元订阅服务

在 LabHost 于 2024 年 4 月关闭之后，网络钓鱼即服务 (PhaaS) 领域出现了一个新的参与者，将自己定位为曾经占主导地位的平台的继承者。

SheByte 于 2024 年 5 月在 Telegram 上正式推出其服务，并于 6 月中旬全面推出，通过提供针对金融机构的复杂网络钓鱼基础设施，迅速在加拿大网络钓鱼威胁领域中占据了很大一部分份额。SheByte 的商业模式围绕每月 199 美元的高级订阅套餐展开，长期订阅可享受折扣。

此订阅允许用户无限制访问针对 17 家加拿大银行、4 家美国银行、电子邮件提供商、电信公司和加密货币服务的静态和可定制的网络钓鱼工具包。

该服务故意将自己宣传为由单个开发人员运营——这是对个别 LabHost 开发人员受到执法部门威胁后引发的担忧的直接回应。

虽然 LabHost 的关闭最初使针对加拿大银行的 Interac 品牌网络钓鱼攻击减少了一半，但 SheByte 迅速填补了这一空白。Fortra 研究人员指出，SheByte 在 2024 年 5 月占 Interac 品牌网络钓鱼攻击的 8%，在 6 月完整平台发布后上升至 10%，表明其在犯罪生态系统中的影响力日益增强。

Fortra 分析师发现，2025 年 2 月，SheByte 为其页面构建器工具发布了“v2”可定制 Interac 套件，这是一项重大创新，引发了加拿大银行网络钓鱼活动的显著激增。

该平台自豪地宣传其 LiveRAT 仪表板，该仪表板使威胁行为者能够实时监控网络钓鱼访问、拦截多因素身份验证代码并向受害者请求更多信息。

该平台的反检测功能对安全专业人员来说是一项复杂的挑战。SheByte 的规避设置允许客户屏蔽特定地理区域、已知的VPN、代理以及来自可疑虚拟机的流量。

为了提供额外的保护，该服务提供了多种 CAPTCHA 实施选项来过滤安全研究人员和自动扫描工具。

技术指标和规避策略

SheByte 网络钓鱼工具包可以通过特定的技术标记进行识别。现已退役的 v1 Interac 工具包利用“/go/”目录中的“start.php”文件作为其登陆页面。

较新的 v2 工具包对 PHP 文件采用了八个随机字母数字字符的命名约定，但这种模式在各个活动中保持一致，而不是为每个网络钓鱼实例生成唯一的名称。

文件和目录命名遵循类似的模式，目录使用八个字符的序列，而表单接收器和 LiveRAT 组件使用七个或九个字符的名称。尽管该服务不断改进其策略，但这些技术指纹使安全团队能够检测到 SheByte活动。

LiveRAT 的功能尤其令人担忧，因为它们能够实时操纵受害者的体验，使攻击者能够根据受害者的行为调整其方法并可能规避标准安全措施。