Un tool di phishing-as-a-service denominato “Greatness” sarebbe stato utilizzato in diverse campagne di phishing(*) almeno dalla metà del 2022, secondo la ricerca di Cisco Talos Intelligence.
Il servizio Greatness che incorpora funzionalità come il bypass dell’autenticazione a più fattori, il filtro IP e l’integrazione con i bot di Telegram si concentrerebbe solo sulle pagine di phishing di Microsoft 365, fornendo agli affiliati un generatore di allegati, link e pagine di accesso altamente convincenti. “Contiene funzionalità come la precompilazione dell’indirizzo e-mail della vittima e la visualizzazione del logo aziendale appropriato e dell’immagine di sfondo, estratte dalla vera pagina di accesso di Microsoft 365 dell’organizzazione target“, commenta il ricercatore di Cisco Talos Tiago Pereira.
Il servizio sarebbe composto da tre componenti: un kit di phishing con pannello di amministrazione, l’API del servizio e un bot Telegram.
I target
L’analisi dei domini presi di mira in diverse campagne avrebbe rivelato come target aziende negli Stati Uniti, nel Regno Unito, in Australia, in Sud Africa e in Canada, nei settori della produzione, assistenza sanitaria e tecnologia.
Il flusso di attacco
Per utilizzare Greatness, occorrerebbe implementare e configurare un kit di phishing fornito con una chiave API che funziona come proxy per il sistema di autenticazione di Microsoft 365, consentendo di fatto un attacco man-in-the-middle per rubare le credenziali di autenticazione e i cookie della vittima. L’attacco inizierebbe con un’e-mail, contenente un file HTML in allegato come presunto documento condiviso. Una volta che la vittima apre il file HTML allegato, il browser web esegue del codice JavaScript offuscato per visualizzare la pagina di phishing e mostrarla all’utente. Un’immagine sfocata mostra una ruota che gira, fingendo di caricare il documento.
La pagina quindi reindirizzerebbe verso una falsa pagina di accesso Microsoft 365, precompilata con l’indirizzo e-mail della vittima e lo sfondo e il logo personalizzati utilizzati dalla società target.
Una volta che la vittima invia la propria password, il servizio PaaS si connetterà a Microsoft 365, impersonando la vittima e tentando di accedervi.
IoC
La società ha reso disponibili gli IoC della propria ricerca su GitHub.
(*)Per segnalazioni di phishing e malspam potete scrivere a computersecuritynews@altervista.org sarà garantita la massima riservatezza.