A plataforma Phishing-as-a-Service (PhaaS) chamada 'Greatness' tem visto um aumento na atividade à medida que visa organizações que usam o Microsoft 365 nos Estados Unidos, Canadá, Reino Unido, Austrália e África do Sul.
A plataforma de produtividade baseada em nuvem da Microsoft 365 é usada por muitas organizações em todo o mundo, tornando-se um alvo valioso para criminosos cibernéticos que tentam roubar dados ou credenciais para uso em violações de rede.
Em um novo relatório da Cisco Talos, os pesquisadores explicam como a plataforma de phishing Greatness foi lançada no meio de 2022, com um aumento na atividade em dezembro de 2022 e novamente em março de 2023.
A maioria das vítimas está localizada nos Estados Unidos, muitas trabalhando em manufatura, saúde, tecnologia, educação, imobiliário, construção, finanças e serviços empresariais.
O Phishing-as-a-Service da Greatness contém tudo o que um ator de phishing iniciante precisa para conduzir uma campanha com sucesso.
Para lançar um ataque, o usuário dos serviços acessa o painel de administração 'Greatness' usando sua chave de API e fornecendo uma lista de endereços de e-mail de destino.
A plataforma PhaaS aloca a infraestrutura necessária, como o servidor que hospedará a página de phishing, bem como para gerar o anexo HTML.
O afiliado então elabora o conteúdo do e-mail e fornece qualquer outro material ou alterações às configurações padrão conforme necessário.
O serviço, em seguida, envia e-mails para as vítimas, que recebem um e-mail de phishing com um anexo HTML.
Quando este anexo é aberto, um código JavaScript ofuscado é executado no navegador para se conectar com o servidor 'Greatness' para buscar a página de phishing que será exibida para o usuário.
O serviço de phishing automaticamente injeta o logotipo da empresa-alvo e a imagem de fundo da página de login real do Microsoft 365 do empregador.
A vítima só insere sua senha na convincente página de phishing, já que a Greatness preenche o e-mail correto para criar uma sensação de legitimidade.
Nesta fase, a plataforma de phishing age como um proxy entre o navegador da vítima e a página de login real do Microsoft 365, lidando com o fluxo de autenticação para obter um cookie de sessão válido para a conta de destino.
Se a conta estiver protegida por autenticação de dois fatores, a Greatness solicitará que a vítima forneça-a, enquanto aciona uma solicitação no serviço real da Microsoft, para que o código único seja enviado para o dispositivo do alvo.
Assim que o código MFA for fornecido, a Greatness autenticará como a vítima na plataforma real da Microsoft e enviará o cookie de sessão autenticado para o afiliado por meio de um canal do Telegram ou no painel da web do serviço.
"As sessões autenticadas geralmente expiram após um tempo, o que é possivelmente uma das razões pelas quais o bot do telegrama é usado - ele informa o atacante sobre cookies válidos o mais rápido possível para garantir que eles possam chegar rapidamente se o alvo for interessante", explica a Cisco.
A partir daí, os atacantes podem usar este cookie de sessão para acessar o e-mail, arquivos e dados de uma vítima nos serviços do Microsoft 365.
Em muitos casos, as credenciais roubadas também são usadas para violar redes corporativas, levando a ataques ainda mais perigosos, como a implantação de ransomware.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...