Эксперты Cisco Talos обнаружили новую киберугрозу под названием "Величие", которая базируется на фишинге как услуге. Анализ доменов, на которые были направлены несколько текущих и прошлых кампаний, показал, что наиболее часто атакуемыми секторами были производство, здравоохранение и технологии в США.
Cisco Talos объявила об обнаружении нового фишинга в качестве услуги (PaaS). "Величие". Он использует функции, присущие самым современным PaaS-предложениям, такие как обход многофакторной аутентификации (MFA), IP-фильтрация и интеграция ботов в Telegram. По данным Cisco Talos, Greatness будет запущен в середине 2022 года.
Как работает "Велич"?
Greatness использует функции, которые можно найти в самых современных предложениях PaaS (Phishing as a Service), таких как обход многофакторной аутентификации (MFA), IP-фильтрация и интеграция с ботами в Telegram. Greatness специализируется на фишинговых атаках на зараженные компоненты Microsoft 365, предоставляя злоумышленникам конструктор вложений и ссылок, который создает убедительные страницы-приманки для входа в систему. Он включает такие функции, как предварительное заполнение адреса электронной почты жертвы и отображение соответствующего логотипа и фона компании, взятых с настоящей страницы входа в Microsoft 365 организации-мишени. Это делает Greatness особенно пригодным для атак на бизнес-пользователей. Чтобы использовать Greatness, злоумышленники должны развернуть и настроить фишинговый набор с помощью ключа API, который позволяет даже неквалифицированным киберпреступникам легко пользоваться расширенными функциями службы. Фишинговый набор и API действуют как прокси-сервер системы аутентификации Microsoft 365, запуская атаку типа "злоумышленник посередине" и похищая учетные данные или файлы cookie жертвы.
Какие страны поражает "Величие"?
Кампания "Величие" была особенно популярной в декабре 2022 и марте 2023 года. Хотя каждая кампания имела несколько иное место проведения, в целом более 50 процентов всех целей были расположены в США. Следующими регионами, которые чаще всего подвергались атакам, были Великобритания, Австралия, Южная Африка и Канада.
Greatness предназначен для компрометации пользователей Microsoft 365 и может сделать фишинговые сайты особенно убедительными и эффективными в поддержке атак на бизнес. На основе данных, полученных Cisco Talos, удалось установить, что киберпреступники, использующие Greatness, нацелены почти исключительно на бизнес. Анализ организаций, на которые было направлено несколько кампаний, показывает, что чаще всего атаковали производственную сферу, за ней следуют здравоохранение, технологии и недвижимость.
Как происходит атака Greatness?
Жертва получает вредоносное электронное письмо, которое обычно содержит HTML-файл в качестве вложения. Когда жертва открывает HTML-файл, веб-браузер выполняет короткий фрагмент замаскированного JavaScript-кода, который устанавливает соединение с сервером злоумышленника, чтобы получить HTML-код фишинговой страницы и отобразить его пользователю в том же окне браузера. Этот код содержит размытое изображение, изображающее вращающееся колесо, имитирующее загрузку документа.
Затем страница перенаправляет жертву на страницу входа в Microsoft 365, обычно предварительно заполненную адресом электронной почты жертвы, а также фоном и логотипом ее компании. После того, как жертва вводит свой пароль, PaaS подключается к Microsoft 365, выдает себя за жертву и пытается войти в систему. Если используется MFA, служба предложит жертве пройти аутентификацию с помощью метода MFA, который требует настоящий сайт Microsoft 365 (например, SMS-код, код голосового звонка, пуш-уведомление).
Получив аутентификацию, служба продолжит выдавать себя за жертву и завершит процесс входа, чтобы собрать файлы cookie сеанса с аутентификацией. Затем они будут переданы партнеру сервиса в его Telegram-канале или непосредственно через веб-панель.
Cisco Talos также опубликовал инструкцию о том, как защититься от "Величия".
