Novo serviço 'Greatness' simplifica os ataques de phishing do Microsoft 365
11 de Maio de 2023

A plataforma Phishing-as-a-Service (PhaaS) chamada 'Greatness' tem visto um aumento na atividade à medida que visa organizações que usam o Microsoft 365 nos Estados Unidos, Canadá, Reino Unido, Austrália e África do Sul.

A plataforma de produtividade baseada em nuvem da Microsoft 365 é usada por muitas organizações em todo o mundo, tornando-se um alvo valioso para criminosos cibernéticos que tentam roubar dados ou credenciais para uso em violações de rede.

Em um novo relatório da Cisco Talos, os pesquisadores explicam como a plataforma de phishing Greatness foi lançada no meio de 2022, com um aumento na atividade em dezembro de 2022 e novamente em março de 2023.

A maioria das vítimas está localizada nos Estados Unidos, muitas trabalhando em manufatura, saúde, tecnologia, educação, imobiliário, construção, finanças e serviços empresariais.

O Phishing-as-a-Service da Greatness contém tudo o que um ator de phishing iniciante precisa para conduzir uma campanha com sucesso.

Para lançar um ataque, o usuário dos serviços acessa o painel de administração 'Greatness' usando sua chave de API e fornecendo uma lista de endereços de e-mail de destino.

A plataforma PhaaS aloca a infraestrutura necessária, como o servidor que hospedará a página de phishing, bem como para gerar o anexo HTML.

O afiliado então elabora o conteúdo do e-mail e fornece qualquer outro material ou alterações às configurações padrão conforme necessário.

O serviço, em seguida, envia e-mails para as vítimas, que recebem um e-mail de phishing com um anexo HTML.

Quando este anexo é aberto, um código JavaScript ofuscado é executado no navegador para se conectar com o servidor 'Greatness' para buscar a página de phishing que será exibida para o usuário.

O serviço de phishing automaticamente injeta o logotipo da empresa-alvo e a imagem de fundo da página de login real do Microsoft 365 do empregador.

A vítima só insere sua senha na convincente página de phishing, já que a Greatness preenche o e-mail correto para criar uma sensação de legitimidade.

Nesta fase, a plataforma de phishing age como um proxy entre o navegador da vítima e a página de login real do Microsoft 365, lidando com o fluxo de autenticação para obter um cookie de sessão válido para a conta de destino.

Se a conta estiver protegida por autenticação de dois fatores, a Greatness solicitará que a vítima forneça-a, enquanto aciona uma solicitação no serviço real da Microsoft, para que o código único seja enviado para o dispositivo do alvo.

Assim que o código MFA for fornecido, a Greatness autenticará como a vítima na plataforma real da Microsoft e enviará o cookie de sessão autenticado para o afiliado por meio de um canal do Telegram ou no painel da web do serviço.

"As sessões autenticadas geralmente expiram após um tempo, o que é possivelmente uma das razões pelas quais o bot do telegrama é usado - ele informa o atacante sobre cookies válidos o mais rápido possível para garantir que eles possam chegar rapidamente se o alvo for interessante", explica a Cisco.

A partir daí, os atacantes podem usar este cookie de sessão para acessar o e-mail, arquivos e dados de uma vítima nos serviços do Microsoft 365.

Em muitos casos, as credenciais roubadas também são usadas para violar redes corporativas, levando a ataques ainda mais perigosos, como a implantação de ransomware.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...