0
0
Empresas de manufatura, organizações de saúde e empresas de tecnologia em países de língua inglesa são as mais visadas por phishers que utilizam uma ferramenta relativamente nova de phishing como serviço (PaaS) chamada Greatness, criada para enganar usuários do Microsoft 365.
De acordo com o pesquisador da Cisco, essa ferramenta foi utilizada em inúmeras campanhas de phishing, com picos notáveis de atividade observados em dezembro de 2022 e março de 2023.
A Grandeza PaaS
O Greatness é uma ferramenta/serviço de PaaS projetado especificamente para comprometer as credenciais do Microsoft 365.
Possui três componentes:
- Um kit de phishing (contendo o painel administrativo)
- A API de serviço
- Um bot ou endereço de e-mail do Telegram
A ferramenta fornece aos afiliados um construtor de anexos e links, permitindo que eles criem páginas de login e chamariz convincentes que provavelmente enganarão usuários desavisados.
“Ele contém recursos como ter o endereço de e-mail da vítima pré-preenchido e exibir o logotipo da empresa e a imagem de fundo apropriados, extraídos da página de login real do Microsoft 365 da organização alvo”, diz Tiago Pereira, técnico de pesquisa de segurança da Cisco Talos.
“Trabalhando juntos, o kit de phishing e a API realizam um ataque ‘man-in-the-middle’, solicitando informações da vítima que a API enviará para a página de login legítima em tempo real. Isso permite que o afiliado PaaS roube nomes de usuário e senhas, juntamente com os cookies de sessão autenticados se a vítima usar MFA.”
O bot do Telegram informa imediatamente o invasor de um ataque bem-sucedido, para que ele possa reagir antes que a sessão autenticada atinja o tempo limite (ou seja, os cookies se tornem inválidos).
Phishing usuários do Microsoft 365
Do ponto de vista da vítima, o ataque começa com um e-mail contendo um anexo de arquivo HTML.
Ao abrir o arquivo HTML, o código JavaScript ofuscado é executado dentro do navegador da vítima, estabelecendo uma conexão com o servidor do invasor e apresentando à vítima uma imagem borrada imitando uma página de carregamento.
A página de chamariz borrada (Fonte: Cisco Talos)
Em seguida, a vítima é redirecionada para uma página de login falsa do Microsoft 365, onde seu endereço de e-mail já foi inserido. Quando eles inserem sua senha, a ferramenta PaaS aproveita seus recursos para se conectar ao Microsoft 365 e tenta fazer logon se passando pela vítima.
“Se o MFA for usado, o serviço solicitará que a vítima se autentique usando o método MFA solicitado pela página real do Microsoft 365 (por exemplo, código SMS, código de chamada de voz, notificação push)”, diz Pereira.
Quando a autenticação for bem-sucedida, o serviço de API recupera os cookies da sessão de autenticação e os encaminha para o canal do Telegram ou endereço de e-mail do afiliado designado. Os phishers agora têm tudo o que precisam para acessar a conta Microsoft 365 das vítimas.
FONTE: HELPNET SECURITY