Greatness, scoperto un nuovo tool PaaS a disposizione dei criminali

Un tool di phishing-as-a-service denominato “Greatness” sarebbe stato utilizzato in diverse campagne di phishing(*) almeno dalla metà del 2022, secondo la ricerca di Cisco Talos Intelligence.

Il servizio Greatness che incorpora funzionalità come il bypass dell’autenticazione a più fattori, il filtro IP e l’integrazione con i bot di Telegram si concentrerebbe solo sulle pagine di phishing di Microsoft 365, fornendo agli affiliati un generatore di allegati, link e pagine di accesso altamente convincenti. “Contiene funzionalità come la precompilazione dell’indirizzo e-mail della vittima e la visualizzazione del logo aziendale appropriato e dell’immagine di sfondo, estratte dalla vera pagina di accesso di Microsoft 365 dell’organizzazione target“, commenta il ricercatore di Cisco Talos Tiago Pereira.

Il servizio sarebbe composto da tre componenti: un kit di phishing con pannello di amministrazione, l’API del servizio e un bot Telegram.

I target

L’analisi dei domini presi di mira in diverse campagne avrebbe rivelato come target aziende negli Stati Uniti, nel Regno Unito, in Australia, in Sud Africa e in Canada, nei settori della produzione, assistenza sanitaria e tecnologia.

Distribuzione geografica dei target

Il flusso di attacco

Per utilizzare Greatness, occorrerebbe implementare e configurare un kit di phishing fornito con una chiave API che funziona come proxy per il sistema di autenticazione di Microsoft 365, consentendo di fatto un attacco man-in-the-middle per rubare le credenziali di autenticazione e i cookie della vittima. L’attacco inizierebbe con un’e-mail, contenente un file HTML in allegato come presunto documento condiviso. Una volta che la vittima apre il file HTML allegato, il browser web esegue del codice JavaScript offuscato per visualizzare la pagina di phishing e mostrarla all’utente. Un’immagine sfocata mostra una ruota che gira, fingendo di caricare il documento.

Documento esca (Fonte Cisco Talos)

La pagina quindi reindirizzerebbe verso una falsa pagina di accesso Microsoft 365, precompilata con l’indirizzo e-mail della vittima e lo sfondo e il logo personalizzati utilizzati dalla società target.

Schermata che chiede alla vittima una password (Fonte Cisco Talos)

Una volta che la vittima invia la propria password, il servizio PaaS si connetterà a Microsoft 365, impersonando la vittima e tentando di accedervi.

IoC

La società ha reso disponibili gli IoC della propria ricerca su GitHub.

(*)Per segnalazioni di phishing e malspam potete scrivere a computersecuritynews@altervista.org sarà garantita la massima riservatezza.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.