Modern technology gives us many things.

Η νέα υπηρεσία «Greatness» απλοποιεί τις επιθέσεις phishing του Microsoft 365

Η πλατφόρμα Phishing-as-a-Service (PhaaS) με το όνομα «Greatness» έχει σημειώσει άνοδο στη δραστηριότητα καθώς στοχεύει οργανισμούς που χρησιμοποιούν το Microsoft 365 στις Ηνωμένες Πολιτείες, τον Καναδά, το Ηνωμένο Βασίλειο, την Αυστραλία και τη Νότια Αφρική.

Η πλατφόρμα παραγωγικότητας που βασίζεται σε σύννεφο Microsoft 365 χρησιμοποιείται από πολλούς οργανισμούς παγκοσμίως, καθιστώντας την πολύτιμο στόχο για εγκληματίες του κυβερνοχώρου που προσπαθούν να υποκλέψουν δεδομένα ή διαπιστευτήρια για χρήση σε παραβιάσεις δικτύου.

Σε μια νέα έκθεση της Cisco Talos, οι ερευνητές εξηγούν πώς ξεκίνησε η πλατφόρμα phishing Greatness στα μέσα του 2022, με άνοδο στη δραστηριότητα τον Δεκέμβριο του 2022 και στη συνέχεια ξανά τον Μάρτιο του 2023.

Τα περισσότερα θύματα βρίσκονται στις Ηνωμένες Πολιτείες, με πολλά να εργάζονται στον τομέα της μεταποίησης, της υγειονομικής περίθαλψης, της τεχνολογίας, της εκπαίδευσης, των ακινήτων, των κατασκευών, των οικονομικών και των επιχειρηματικών υπηρεσιών.

Ποσοστά θυμάτων επιθέσεων που υποστηρίζονται από το Μεγαλείο
Ποσοστό θυμάτων επιθέσεων που υποστηρίζονται από το Μεγαλείο (Cisco)

Επιθέσεις «μεγαλείου».

Το Greatness Phishing-as-a-Service περιέχει όλα όσα χρειάζεται ένας απρόβλεπτος ηθοποιός phishing για να διεξάγει μια καμπάνια με επιτυχία.

Για να ξεκινήσει μια επίθεση, ο χρήστης των υπηρεσιών έχει πρόσβαση στον πίνακα διαχείρισης «Greatness» χρησιμοποιώντας το κλειδί API του και παρέχοντας μια λίστα με τις διευθύνσεις email-στόχους.

Η πλατφόρμα PhaaS διαθέτει την απαραίτητη υποδομή, όπως ο διακομιστής που θα φιλοξενήσει τη σελίδα phishing, καθώς και για τη δημιουργία του συνημμένου HTML.

Στη συνέχεια, η θυγατρική δημιουργεί το περιεχόμενο email και παρέχει οποιοδήποτε άλλο υλικό ή αλλαγές στις προεπιλεγμένες ρυθμίσεις, όπως απαιτείται.

Εργαλείο δημιουργίας συνημμένων ηλεκτρονικού ταχυδρομείου
Εργαλείο δημιουργίας συνημμένων ηλεκτρονικού ταχυδρομείου (Cisco)

Στη συνέχεια, η υπηρεσία στέλνει email στα θύματα, τα οποία λαμβάνουν ένα email ηλεκτρονικού ψαρέματος με ένα συνημμένο HTML. Όταν ανοίξει αυτό το συνημμένο, εκτελείται ένας ασαφής κώδικας JavaScript στο πρόγραμμα περιήγησης για σύνδεση με τον διακομιστή «Greatness» για ανάκτηση της σελίδας ηλεκτρονικού ψαρέματος που θα εμφανίζεται στον χρήστη.

Η υπηρεσία phishing θα εισάγει αυτόματα το εταιρικό λογότυπο του στόχου και την εικόνα φόντου από την πραγματική σελίδα σύνδεσης του Microsoft 365 του εργοδότη.

Η σελίδα phishing δημιουργήθηκε από το Greatness
Η σελίδα phishing δημιουργήθηκε από την Greatness για έναν υπάλληλο της Cisco Talos (Cisco)

Το θύμα εισάγει τον κωδικό πρόσβασής του μόνο στην πειστική σελίδα phishing, καθώς η Greatness προ-συμπληρώνει το σωστό email για να δημιουργήσει μια αίσθηση νομιμότητας.

Σε αυτό το στάδιο, η πλατφόρμα ηλεκτρονικού “ψαρέματος” λειτουργεί ως διακομιστής μεσολάβησης μεταξύ του προγράμματος περιήγησης του θύματος και της πραγματικής σελίδας σύνδεσης του Microsoft 365, διαχειριζόμενος τη ροή ελέγχου ταυτότητας για να αποκτήσει ένα έγκυρο cookie περιόδου λειτουργίας για τον λογαριασμό προορισμού.

Το λειτουργικό διάγραμμα της πλατφόρμας
Το λειτουργικό διάγραμμα της πλατφόρμας (Cisco)

Εάν ο λογαριασμός προστατεύεται από έλεγχο ταυτότητας δύο παραγόντων, το Greatness θα ζητήσει από το θύμα να τον παράσχει ενώ ενεργοποιεί ένα αίτημα στην πραγματική υπηρεσία της Microsoft, οπότε ο κωδικός μίας χρήσης αποστέλλεται στη συσκευή του στόχου.

Η σελίδα ηλεκτρονικού ψαρέματος ζητά από το θύμα να εισαγάγει έναν κωδικό μίας χρήσης
Η σελίδα ηλεκτρονικού ψαρέματος ζητά από το θύμα να εισαγάγει έναν κωδικό μίας χρήσης, (Cisco)

Μόλις παρασχεθεί ο κωδικός MFA, η Greatness θα πραγματοποιήσει έλεγχο ταυτότητας ως θύμα στην πραγματική πλατφόρμα της Microsoft και θα στείλει το πιστοποιημένο cookie περιόδου λειτουργίας στη θυγατρική μέσω ενός καναλιού Telegram ή στον πίνακα ιστού της υπηρεσίας.

“Οι επαληθευμένες περίοδοι σύνδεσης συνήθως λήγουν μετά από λίγο, κάτι που είναι πιθανώς ένας από τους λόγους για τους οποίους χρησιμοποιείται το bot telegram – ενημερώνει τον εισβολέα για έγκυρα cookie το συντομότερο δυνατό για να διασφαλίσει ότι μπορούν να φτάσουν γρήγορα εάν ο στόχος είναι ενδιαφέρον”, εξηγεί η Cisco.

Από εκεί, οι εισβολείς μπορούν να χρησιμοποιήσουν αυτό το cookie περιόδου λειτουργίας για να αποκτήσουν πρόσβαση στα email, τα αρχεία και τα δεδομένα ενός θύματος στις υπηρεσίες Microsoft 365.

Σε πολλές περιπτώσεις, τα κλεμμένα διαπιστευτήρια χρησιμοποιούνται επίσης για την παραβίαση εταιρικών δικτύων, οδηγώντας σε ακόμη πιο επικίνδυνες επιθέσεις, όπως η ανάπτυξη ransomware.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση