Phishing.jpg

Serviço Greatness facilita ataques de phishing ao Microsoft 365

Da Redação
10/05/2023

A plataforma de phishing-as-a-service (PhaaS) chamada Greatness registrou pico de atividade ao atingir organizações que usam o Microsoft 365 nos Estados Unidos, Canadá, Reino Unido, Austrália e África do Sul. A plataforma de produtividade baseada em nuvem do Microsoft 365 é usada por muitas organizações em todo o mundo, por isso tornou-se um alvo valioso para cibercriminosos que tentam roubar dados ou credenciais para uso em violações de rede.

Em um novo relatório da Cisco Talos, os pesquisadores explicam como a plataforma de phishing Greatness foi lançada em meados de 2022, com um pico de atividade em dezembro de 2022 e novamente em março deste ano. A maioria das vítimas está localizada nos Estados Unidos, com muitas trabalhando em manufatura, saúde, tecnologia, educação, imóveis, construção, finanças e serviços comerciais.

O Greatness contém tudo o que um aspirante a phisher precisa para conduzir uma campanha com sucesso. Para lançar um ataque, o usuário dos serviços acessa o painel de administração ‘ Greatness’ usando sua chave de API e fornecendo uma lista de endereços de e-mail de destino.

A plataforma PhaaS aloca a infraestrutura necessária, como o servidor que hospedará a página de phishing, bem como para gerar o anexo HTML. O afiliado cria o conteúdo do e-mail e fornece qualquer outro material ou alterações nas configurações padrão conforme necessário. O serviço então envia um e-mail às vítimas, que recebem um e-mail de phishing com um anexo em HTML. Quando este anexo é aberto, um código JavaScript ofuscado é executado no navegador para se conectar ao servidor ‘Greatness’ para buscar a página de phishing que será exibida ao usuário.

O serviço de phishing injetará automaticamente o logotipo da empresa de destino e a imagem de plano de fundo da página de logon real do Microsoft 365 do empregador. A vítima apenas insere sua senha na página de phishing convincente, pois o Greatness preenche o e-mail correto para criar um senso de legitimidade.

Veja isso
Phishing usa o Dynamics 365 da Microsoft para roubar dados
Usuários do Microsoft 365 Business são alvo de phishing

Nesse estágio, a plataforma de phishing atua como um proxy entre o navegador da vítima e a página de login real do Microsoft 365, manipulando o fluxo de autenticação para obter um cookie de sessão válido para a conta de destino.

Se a conta estiver protegida por autenticação de dois fatores, o Greatness solicitará que a vítima o forneça enquanto aciona uma solicitação no serviço real da Microsoft, para que o código único seja enviado ao dispositivo do alvo.

Assim que o código MFA (autenticação multifator) for fornecido, o Greatness se autenticará como a vítima na plataforma real da Microsoft e enviará o cookie da sessão autenticada ao afiliado por meio de um canal do Telegram ou no painel da web do serviço.

“As sessões autenticadas geralmente expiram depois de um tempo, o que é possivelmente uma das razões pelas quais o bot do telegram é usado – ele informa o invasor sobre cookies válidos o mais rápido possível para garantir que eles possam alcançar rapidamente se o alvo for interessante”, explica a Cisco.

A partir daí, os invasores podem usar esse cookie de sessão para acessar o email, os arquivos e os dados da vítima nos serviços do Microsoft 365.Em muitos casos, as credenciais roubadas também são usadas para invadir redes corporativas, levando a ataques ainda mais perigosos, como a implantação de ransomware.

Compartilhar: