Експерти Cisco Talos виявили нову кіберзагрозу під назвою "Велич", яка базується на фішингу як послузі. Аналіз доменів, на які були спрямовані кілька поточних і минулих кампаній, показав, що найбільш часто атакованими секторами були виробництво, охорона здоров'я і технології в США.
Cisco Talos оголосила про виявлення нового фішингу як послуги (PaaS). "Велич". Він використовує функції, притаманні найсучаснішим PaaS-пропозиціям, такі як обхід багатофакторної автентифікації (MFA), IP-фільтрація та інтеграція ботів у Telegram. За даними Cisco Talos, Greatness буде запущено в середині 2022 року.
Як працює “Велич”?
Greatness використовує функції, які можна знайти в найсучасніших пропозиціях PaaS (Phishing as a Service), таких як обхід багатофакторної автентифікації (MFA), IP-фільтрація та інтеграція з ботами в Telegram. Greatness спеціалізується на фішингових атаках на заражені компоненти Microsoft 365, надаючи зловмисникам конструктор вкладень і посилань, який створює переконливі сторінки-приманки для входу в систему. Він включає такі функції, як попереднє заповнення адреси електронної пошти жертви та відображення відповідного логотипу і фону компанії, взятих зі справжньої сторінки входу в Microsoft 365 організації-мішені. Це робить Greatness особливо придатним для атак на бізнес-користувачів. Щоб використовувати Greatness, зловмисники повинні розгорнути та налаштувати фішинговий набір за допомогою ключа API, який дозволяє навіть некваліфікованим кіберзлочинцям легко користуватися розширеними функціями служби. Фішинговий набір і API діють як проксі-сервер системи автентифікації Microsoft 365, запускаючи атаку типу "зловмисник посередині" і викрадаючи облікові дані або файли cookie жертви.
Які країни вражає "Велич"?
Кампанія "Велич" була особливо популярною в грудні 2022 та березні 2023 року. Хоча кожна кампанія мала дещо інше місце проведення, загалом понад 50 відсотків усіх цілей були розташовані в США. Наступними регіонами, які найчастіше піддавалися атакам, були Велика Британія, Австралія, Південна Африка та Канада.
Greatness призначений для компрометації користувачів Microsoft 365 і може зробити фішингові сайти особливо переконливими та ефективними в підтримці атак на бізнес. На основі даних, отриманих Cisco Talos, вдалося встановити, що кіберзлочинці, які використовують Greatness, націлені майже виключно на бізнес. Аналіз організацій, на які було спрямовано кілька кампаній, показує, що найчастіше атакували виробничу сферу, за нею йдуть охорона здоров'я, технології та нерухомість.
Як відбувається атака Greatness?
Жертва отримує шкідливий електронний лист, який зазвичай містить HTML-файл як вкладення. Коли жертва відкриває HTML-файл, веб-браузер виконує короткий фрагмент замаскованого JavaScript-коду, який встановлює з'єднання з сервером зловмисника, щоб отримати HTML-код фішингової сторінки і відобразити його користувачеві в тому ж вікні браузера. Цей код містить розмите зображення, що зображує колесо, яке обертається, імітуючи завантаження документа.
Потім сторінка перенаправляє жертву на сторінку входу в Microsoft 365, зазвичай попередньо заповнену адресою електронної пошти жертви, а також фоном і логотипом її компанії. Після того, як жертва вводить свій пароль, PaaS підключається до Microsoft 365, видає себе за жертву і намагається увійти в систему. Якщо використовується MFA, служба запропонує жертві пройти автентифікацію за допомогою методу MFA, який вимагає справжній сайт Microsoft 365 (наприклад, SMS-код, код голосового дзвінка, пуш-сповіщення).
Отримавши автентифікацію, служба продовжить видавати себе за жертву та завершить процес входу, щоб зібрати файли cookie сеансу з автентифікацією. Потім вони будуть передані партнеру сервісу в його Telegram-каналі або безпосередньо через веб-панель.
Cisco Talos також опублікував інструкцію про те, як захиститися від "Величі".
