0
0
Plataforma de phishing-as-a-service baseada em nuvem do Microsoft 365 é usada por muitas organizações em todo o mundo, por isso tornou-se um alvo valioso para cibercriminosos
A plataforma de phishing-as-a-service (PhaaS) chamada Greatness registrou pico de atividade ao atingir organizações que usam o Microsoft 365 nos Estados Unidos, Canadá, Reino Unido, Austrália e África do Sul. A plataforma de produtividade baseada em nuvem do Microsoft 365 é usada por muitas organizações em todo o mundo, por isso tornou-se um alvo valioso para cibercriminosos que tentam roubar dados ou credenciais para uso em violações de rede.
Em um novo relatório da Cisco Talos, os pesquisadores explicam como a plataforma de phishing Greatness foi lançada em meados de 2022, com um pico de atividade em dezembro de 2022 e novamente em março deste ano. A maioria das vítimas está localizada nos Estados Unidos, com muitas trabalhando em manufatura, saúde, tecnologia, educação, imóveis, construção, finanças e serviços comerciais.
O Greatness contém tudo o que um aspirante a phisher precisa para conduzir uma campanha com sucesso. Para lançar um ataque, o usuário dos serviços acessa o painel de administração ‘ Greatness’ usando sua chave de API e fornecendo uma lista de endereços de e-mail de destino.
A plataforma PhaaS aloca a infraestrutura necessária, como o servidor que hospedará a página de phishing, bem como para gerar o anexo HTML. O afiliado cria o conteúdo do e-mail e fornece qualquer outro material ou alterações nas configurações padrão conforme necessário. O serviço então envia um e-mail às vítimas, que recebem um e-mail de phishing com um anexo em HTML. Quando este anexo é aberto, um código JavaScript ofuscado é executado no navegador para se conectar ao servidor ‘Greatness’ para buscar a página de phishing que será exibida ao usuário.
O serviço de phishing injetará automaticamente o logotipo da empresa de destino e a imagem de plano de fundo da página de logon real do Microsoft 365 do empregador. A vítima apenas insere sua senha na página de phishing convincente, pois o Greatness preenche o e-mail correto para criar um senso de legitimidade.
Nesse estágio, a plataforma de phishing atua como um proxy entre o navegador da vítima e a página de login real do Microsoft 365, manipulando o fluxo de autenticação para obter um cookie de sessão válido para a conta de destino.
Se a conta estiver protegida por autenticação de dois fatores, o Greatness solicitará que a vítima o forneça enquanto aciona uma solicitação no serviço real da Microsoft, para que o código único seja enviado ao dispositivo do alvo.
Assim que o código MFA (autenticação multifator) for fornecido, o Greatness se autenticará como a vítima na plataforma real da Microsoft e enviará o cookie da sessão autenticada ao afiliado por meio de um canal do Telegram ou no painel da web do serviço.
“As sessões autenticadas geralmente expiram depois de um tempo, o que é possivelmente uma das razões pelas quais o bot do telegram é usado – ele informa o invasor sobre cookies válidos o mais rápido possível para garantir que eles possam alcançar rapidamente se o alvo for interessante”, explica a Cisco.
A partir daí, os invasores podem usar esse cookie de sessão para acessar o email, os arquivos e os dados da vítima nos serviços do Microsoft 365.Em muitos casos, as credenciais roubadas também são usadas para invadir redes corporativas, levando a ataques ainda mais perigosos, como a implantação de ransomware.
FONTE: CISO ADVISOR