Η πλατφόρμα Phishing-as-a-Service (PhaaS) με την ονομασία “Greatness” σημείωσε εκτόξευση της δραστηριότητας της, καθώς στοχεύει οργανισμούς που χρησιμοποιούν το Microsoft 365 στις Ηνωμένες Πολιτείες, τον Καναδά, το Ηνωμένο Βασίλειο, την Αυστραλία και τη Νότια Αφρική.

Η πλατφόρμα παραγωγικότητας Microsoft 365 που βασίζεται στο cloud και χρησιμοποιείται από πολλούς οργανισμούς παγκοσμίως, την καθιστά πολύτιμο στόχο για εγκληματίες του κυβερνοχώρου που προσπαθούν να κλέψουν δεδομένα ή credentials για χρήση σε παραβιάσεις δικτύου.

Σε μια νέα έκθεση της Cisco Talos, οι ερευνητές εξηγούν πώς η πλατφόρμα phishing Greatness ξεκίνησε στα μέσα του 2022, με μια κορύφωση της δραστηριότητας τον Δεκέμβριο του 2022 και στη συνέχεια ξανά τον Μάρτιο του 2023.

Τα περισσότερα θύματα βρίσκονται στις Ηνωμένες Πολιτείες, με πολλά από αυτά να εργάζονται στους τομείς της μεταποίησης, της υγειονομικής περίθαλψης, της τεχνολογίας, της εκπαίδευσης, της ακίνητης περιουσίας, των κατασκευών, της χρηματοδότησης και των επιχειρηματικών υπηρεσιών.

‘Greatness’ επιθέσεις

Το Greatness Phishing-as-a-Service περιέχει όλα όσα χρειάζεται ένας απρόβλεπτος απειλητικός παράγοντας για να διεξάγει μια καμπάνια phishing με επιτυχία.

Για να εξαπολύσει μια επίθεση, ο χρήστης της υπηρεσίας αποκτά πρόσβαση στον πίνακα διαχείρισης “Greatness” χρησιμοποιώντας το κλειδί API και παρέχει μια λίστα με διευθύνσεις ηλεκτρονικού ταχυδρομείου-στόχου.

Η πλατφόρμα PaaS διαθέτει την απαραίτητη υποδομή, όπως ο server που θα φιλοξενήσει τη σελίδα phishing, καθώς και για τη δημιουργία του συνημμένου HTML.

Στη συνέχεια, ο server διαμορφώνει το περιεχόμενο του email και παρέχει οποιοδήποτε άλλο υλικό ή αλλαγές που απαιτούνται στις προεπιλεγμένες ρυθμίσεις.

Στη συνέχεια, η υπηρεσία στέλνει email στα θύματα, τα οποία λαμβάνουν ένα phishing email με ένα συνημμένο HTML. Όταν αυτό το συνημμένο ανοίγει, εκτελείται στο πρόγραμμα περιήγησης ένας συγκεκαλυμμένος κώδικας JavaScript, ο οποίος συνδέεται με τον server”Greatness” για να ανακτήσει τη σελίδα phishing που θα εμφανιστεί στον χρήστη.

Η υπηρεσία phishing θα εισάγει αυτόματα το λογότυπο της εταιρείας του στόχου και την εικόνα φόντου από την πραγματική σελίδα σύνδεσης του εργοδότη στο Microsoft 365.

Το θύμα εισάγει τον κωδικό πρόσβασής του μόνο στην πειστική σελίδα phishing, καθώς το Greatness προ-συμπληρώνει το σωστό email για να δημιουργήσει μια αίσθηση νομιμότητας.

Σε αυτό το στάδιο, η πλατφόρμα phishing ενεργεί ως proxy μεταξύ του προγράμματος περιήγησης του θύματος και της πραγματικής σελίδας σύνδεσης στο Microsoft 365, χειριζόμενη τη ροή ελέγχου ταυτότητας για να αποκτήσει ένα έγκυρο session cookie για τον στοχευμένο λογαριασμό.

Εάν ο λογαριασμός προστατεύεται από έλεγχο ταυτότητας δύο παραγόντων, το Greatness θα ζητήσει από το θύμα να τον παράσχει, ενώ παράλληλα θα ενεργοποιήσει ένα αίτημα στην πραγματική υπηρεσία της Microsoft, ώστε να σταλεί ο κωδικός μιας χρήσης στη συσκευή του στόχου.

Μόλις παρασχεθεί ο κωδικός MFA, το Greatness θα πιστοποιηθεί ως το θύμα στην πραγματική πλατφόρμα της Microsoft και θα στείλει το session cookie που έχει πιστοποιηθεί στον affiliate μέσω ενός καναλιού Telegram ή μέσω του web panel της υπηρεσίας.

Από εκεί και πέρα, οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν αυτό το session cookie για να αποκτήσουν πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου, τα αρχεία και τα δεδομένα του θύματος στις υπηρεσίες του Microsoft 365.

Σε πολλές περιπτώσεις, τα κλεμμένα credentials χρησιμοποιούνται και για την παραβίαση εταιρικών δικτύων, οδηγώντας σε ακόμη πιο επικίνδυνες επιθέσεις, όπως η ανάπτυξη ransomware.

Πηγή: bleepingcomputer.com