Una nueva plataforma de phishing como servicio (PhaaS o PaaS) llamada Greatness ha sido utilizada por ciberdelincuentes para atacar a usuarios empresariales del servicio en la nube Microsoft 365 desde mediados de 2022, lo que efectivamente reduce el nivel de dificultad para llevar a cabo ataques de phishing. "Greatness, por ahora, se centra únicamente en páginas de phishing de Microsoft 365, proporcionando a sus afiliados un generador de adjuntos y enlaces que crea páginas de señuelo y de inicio de sesión altamente convincentes", dijo Tiago Pereira, investigador de Cisco Talos.
"Incluye caracterÃsticas como tener el correo electrónico de la vÃctima prellenado y mostrar el logotipo y la imagen de fondo correspondientes a la empresa, extraÃdos de la página de inicio de sesión real de Microsoft 365 de la organización objetivo." Las campañas que involucran a Greatness se han dirigido principalmente a entidades del sector manufacturero, de atención médica y tecnologÃa ubicadas en Estados Unidos, Reino Unido, Australia, Sudáfrica y Canadá, y se detectó un aumento en la actividad en diciembre de 2022 y marzo de 2023.
Los kits de phishing como Greatness ofrecen a los actores de amenazas, tanto novatos como experimentados, una solución integral rentable y escalable que les permite diseñar páginas de inicio de sesión convincentes asociadas con varios servicios en lÃnea y evadir las protecciones de autenticación de dos factores (2FA). EspecÃficamente, las páginas de señuelo con apariencia auténtica funcionan como un proxy inverso para recopilar las credenciales y contraseñas de un solo uso basadas en el tiempo (TOTPs, por sus siglas en inglés) ingresadas por las vÃctimas.
Las cadenas de ataques comienzan con correos electrónicos maliciosos que contienen un archivo HTML adjunto, que al abrirse ejecuta código JavaScript ofuscado que redirige al usuario a una página de destino con la dirección de correo electrónico del destinatario ya prellenada y solicita su contraseña y código de autenticación de múltiples factores (MFA).
Las credenciales y tokens ingresados se envÃan posteriormente al canal de Telegram del afiliado para obtener acceso no autorizado a las cuentas en cuestión.
El kit de phishing AiTM también viene con un panel de administración que permite al afiliado configurar el bot de Telegram, hacer un seguimiento de la información robada e incluso crear adjuntos o enlaces con trampas.
Además, se espera que cada afiliado tenga una clave API válida para poder cargar la página de phishing. La clave API también evita que direcciones IP no deseadas vean la página de phishing y facilita la comunicación en segundo plano con la página de inicio de sesión real de Microsoft 365 al hacerse pasar por la vÃctima.
"Trabajando juntos, el kit de phishing y la API realizan un ataque de 'hombre en el medio', solicitando información a la vÃctima que la API enviará a la página de inicio de sesión legÃtima en tiempo real", dijo Pereira.
"Esto permite al afiliado de PaaS robar nombres de usuario y contraseñas, junto con las cookies de sesión autenticadas si la vÃctima utiliza MFA". Estos hallazgos se producen en un momento en que Microsoft ha comenzado a aplicar la coincidencia de números en las notificaciones de autenticación de Microsoft Authenticator a partir del 8 de mayo de 2023, para mejorar las protecciones de 2FA y defenderse de los ataques de bombardeo de solicitudes.
¿Quieres saber mas de Phishing?