Indenfor IT-kriminalitetens underverden er der opstået en ny platform kaldet “Greatness”, der gør det muligt for cyberkriminelle at skabe meget overbevisende phishing-sider med en hidtil uset lethed.

Denne phishing-as-a-service-platform (PhaaS eller PaaS) har specifikt rettet sig mod forretningsbrugere af Microsoft 365-skytjenesten siden midten af ​​2022, hvilket væsentligt har sænket barriererne for at udføre phishing-angreb.

Forbedrede phishing-funktioner

Ifølge Tiago Pereira, en forsker fra Cisco Talos, er storhed i øjeblikket fokuseret på at generere phishing-sider til Microsoft 365. Det giver tilknyttede selskaber en vedhæftet fil og linkbuilder, der producerer et bemærkelsesværdigt autentisk udseende lokke- og login-sider. Disse sider indeholder især funktioner såsom forududfyldte offer-e-mailadresser, firmalogoer og baggrundsbilleder udtrukket fra de faktiske Microsoft 365-loginsider for de målrettede organisationer.

Kampagneomfang og berørte brancher

Greatness-phishing-kampagnerne har primært rettet sig mod fremstillings-, sundheds- og teknologivirksomheder i USA, Storbritannien, Australien, Sydafrika og Canada. Aktiviteterne steg markant i december 2022 og marts 2023. Phishing-sæt som Greatness giver håbefulde trusselsaktører en omkostningseffektiv og skalerbar løsning, der giver dem mulighed for at skabe overbevisende login-sider til forskellige onlinetjenester, mens de omgår to-faktor autentificering (2FA) foranstaltninger.

Hvordan foregår det?

De omhyggeligt udformede lokkesider genereret af Greatness fungerer som omvendte proxyer, designet til at indsamle login-legitimationsoplysninger og tidsbaserede engangsadgangskoder (TOTP'er), der indtastes af intetanende ofre. Angrebskæden starter typisk med ondsindede e-mails, der indeholder HTML-vedhæftninger.

Når den vedhæftede fil åbnes, udføres sløret JavaScript-kode, som omdirigerer brugeren til en landingsside, hvor deres e-mailadresse allerede er udfyldt. Offeret bliver derefter bedt om at indtaste deres adgangskode og 2FA-kode.

De stjålne legitimationsoplysninger og tokens videresendes efterfølgende til affiliates Telegram-kanal, hvilket letter uautoriseret adgang til de målrettede konti.

Funktioner i AiTM Phishing Kit

Greatness phishing-sættet er udstyret med et administrationspanel, der gør det muligt for tilknyttede selskaber at konfigurere den tilknyttede Telegram-bot, overvåge stjålne oplysninger og endda oprette vedhæftede filer eller links.

For at indlæse phishing-siden med succes skal hver affiliate have en gyldig API-nøgle. Denne nøgle forhindrer ikke kun uautoriserede IP-adresser i at få adgang til phishing-siden, men muliggør også problemfri kommunikation med den legitime Microsoft 365-loginside. Ved at udgive sig for at være offer, letter API-nøglen og phishing-kittet sammen et "man-in-the-middle"-angreb, hvor API'en samler information om offeret og sender dem til den faktiske login-side i realtid.

Denne proces giver PaaS-tilknyttede selskaber mulighed for at stjæle brugernavne, adgangskoder og endda autentificerede sessionscookies, hvis ofret bruger 2FA.

Modforanstaltninger og Microsofts svar

Som reaktion på den stigende sofistikering af phishing-angreb implementerede Microsoft nummermatchning i Microsoft Authenticator-push-meddelelser den 8. maj 2023. Denne forbedring styrker 2FA-beskyttelsen og fungerer som en forsvarsmekanisme mod hurtige bombeangreb.

Greatness phishing-as-a-service platformen har markant forstærket trusselslandskabet for phishing-angreb, især rettet mod brugere af Microsoft 365. Ved at tilbyde nem adgang til sofistikerede phishing-funktioner har denne platform åbnet døre for håbefulde cyberkriminelle.

I lyset af denne udvikling bliver det bydende nødvendigt for organisationer og enkeltpersoner at forblive på vagt, vedtage robuste sikkerhedsmetoder og holde sig opdateret med modforanstaltninger implementeret af tjenesteudbydere som Microsoft.