MKD-CIRT National Centre for Computer Incident Response
Новата phishing-as-a-service (PhaaS или PaaS) платформа наречена Greatness е искористена од страна на сајбер-криминалците за да ги таргетира деловните корисници на Microsoft 365 cloud услугата од средината на 2022 година, ефикасно намалувајќи ја лентата за влез за phishing напади.
„Greatness, засега, е фокусирана само на phishing страниците на Microsoft 365, обезбедувајќи им на хакерите додаток и врски што создава многу убедливи мамки и страници за најавување“, изјави истражувачот на Cisco Talos, Tiago Pereira.
„Содржи функции како што се претходно пополнета email адреса на жртвата и прикажување на нивното соодветно лого на компанијата и слика за позадина, извлечени од таргетираната организациска Microsoft 365 страница за најавување.
Кампањите кои вклучуваат Greatness имаат главно производствени, здравствени и технолошки ентитети лоцирани во САД, Обединетото Кралство, Австралија, Јужна Африка и Канада, со скок во активноста откриени во декември 2022 и март 2023 година.
Phishing комплетите, како што е Greatness, нудат хакерите, е економична и скалабилна едношалтерска продавница, што овозможува да се дизајнираат убедливи страници за најавување поврзани со различни онлајн услуги и да се заобиколи заштитата со двофакторска автентикација (2FA).
Поточно, страниците за мамки со автентичен изглед функционираат како reverse proxy за собирање акредитиви и time based one time лозинки (TOTP) внесени од страна на жртвите.
Chains нападите започнуваат со малициозни мејлови кои содржат HTML прилог, кој, по отворањето, извршува заматен JavaScript код кој го пренасочува корисникот на таргетирана страница со претходно пополнета мејл адреса на примачот и ја бара неговата лозинка и MFA кодот.
Внесените акредитиви и токени последователно се препраќаат на Telegram каналот со цел да се добие неовластен пристап до сметките.
AiTM phishing комплетот доаѓа и со административна табла која му овозможува на хакерот да го конфигурира ботот на Telegram, да ги следи украдените информации, па дури и да создава прилози или врски кои служат како замка.
Исто така, се очекува секој хакер да има валиден API клуч за да може да ја вчита phishing страницата. API клучот исто така ги спречува несаканите IP адреси да ја гледаат phishing страницата и ја олеснува комуникацијата зад сцената со вистинската страница за најавување на Microsoft 365, претставувајќи се како жртва.
„Работејќи заедно, phishing комплетот и API платформата вршат ‘man-in-the-middle’ напад, барајќи информации од жртвата што API потоа ќе ги достави до легитимната страница за најавување во реално време“, изјави Pereira.
„Ова им овозможува на креаторите на PaaS да украдат кориснички имиња и лозинки, заедно со автентицираните сесиски колачиња доколку жртвата користи MFA“.
Наодите доаѓаат откако Microsoft почна да спроведува совпаѓање на броеви во Microsoft Authenticator нотификациите од 8 мај 2023 година, за да ја подобри 2FA заштитата и да ги спречи брзите бомбашки напади.
Извор: TheHackerNews
