Indenfor IT-kriminalitetens underverden er der opstået en ny platform kaldet “Greatness”, der gør det muligt for cyberkriminelle at skabe meget overbevisende phishing-sider med en hidtil uset lethed.
Denne phishing-as-a-service-platform (PhaaS eller PaaS) har specifikt rettet sig mod forretningsbrugere af Microsoft 365-skytjenesten siden midten af 2022, hvilket væsentligt har sænket barriererne for at udføre phishing-angreb.
Forbedrede phishing-funktioner
Ifølge Tiago Pereira, en forsker fra Cisco Talos, er storhed i øjeblikket fokuseret på at generere phishing-sider til Microsoft 365. Det giver tilknyttede selskaber en vedhæftet fil og linkbuilder, der producerer et bemærkelsesværdigt autentisk udseende lokke- og login-sider. Disse sider indeholder især funktioner såsom forududfyldte offer-e-mailadresser, firmalogoer og baggrundsbilleder udtrukket fra de faktiske Microsoft 365-loginsider for de målrettede organisationer.
Kampagneomfang og berørte brancher
Greatness-phishing-kampagnerne har primært rettet sig mod fremstillings-, sundheds- og teknologivirksomheder i USA, Storbritannien, Australien, Sydafrika og Canada. Aktiviteterne steg markant i december 2022 og marts 2023. Phishing-sæt som Greatness giver håbefulde trusselsaktører en omkostningseffektiv og skalerbar løsning, der giver dem mulighed for at skabe overbevisende login-sider til forskellige onlinetjenester, mens de omgår to-faktor autentificering (2FA) foranstaltninger.
Hvordan foregår det?
De omhyggeligt udformede lokkesider genereret af Greatness fungerer som omvendte proxyer, designet til at indsamle login-legitimationsoplysninger og tidsbaserede engangsadgangskoder (TOTP'er), der indtastes af intetanende ofre. Angrebskæden starter typisk med ondsindede e-mails, der indeholder HTML-vedhæftninger.
Når den vedhæftede fil åbnes, udføres sløret JavaScript-kode, som omdirigerer brugeren til en landingsside, hvor deres e-mailadresse allerede er udfyldt. Offeret bliver derefter bedt om at indtaste deres adgangskode og 2FA-kode.
De stjålne legitimationsoplysninger og tokens videresendes efterfølgende til affiliates Telegram-kanal, hvilket letter uautoriseret adgang til de målrettede konti.
Funktioner i AiTM Phishing Kit
Greatness phishing-sættet er udstyret med et administrationspanel, der gør det muligt for tilknyttede selskaber at konfigurere den tilknyttede Telegram-bot, overvåge stjålne oplysninger og endda oprette vedhæftede filer eller links.
For at indlæse phishing-siden med succes skal hver affiliate have en gyldig API-nøgle. Denne nøgle forhindrer ikke kun uautoriserede IP-adresser i at få adgang til phishing-siden, men muliggør også problemfri kommunikation med den legitime Microsoft 365-loginside. Ved at udgive sig for at være offer, letter API-nøglen og phishing-kittet sammen et "man-in-the-middle"-angreb, hvor API'en samler information om offeret og sender dem til den faktiske login-side i realtid.
Denne proces giver PaaS-tilknyttede selskaber mulighed for at stjæle brugernavne, adgangskoder og endda autentificerede sessionscookies, hvis ofret bruger 2FA.
Modforanstaltninger og Microsofts svar
Som reaktion på den stigende sofistikering af phishing-angreb implementerede Microsoft nummermatchning i Microsoft Authenticator-push-meddelelser den 8. maj 2023. Denne forbedring styrker 2FA-beskyttelsen og fungerer som en forsvarsmekanisme mod hurtige bombeangreb.
Greatness phishing-as-a-service platformen har markant forstærket trusselslandskabet for phishing-angreb, især rettet mod brugere af Microsoft 365. Ved at tilbyde nem adgang til sofistikerede phishing-funktioner har denne platform åbnet døre for håbefulde cyberkriminelle.
I lyset af denne udvikling bliver det bydende nødvendigt for organisationer og enkeltpersoner at forblive på vagt, vedtage robuste sikkerhedsmetoder og holde sig opdateret med modforanstaltninger implementeret af tjenesteudbydere som Microsoft.
Comments