Nowa usługa phishing-as-a-service (PaaS) o nazwie Greatness została wykryta przez ekspertów Cisco Talos. Wykorzystuje ona funkcje spotykane w najbardziej zaawansowanych ofertach PaaS, takie jak obejście wieloskładnikowego uwierzytelniania (MFA), filtrowanie IP oraz integracja z botami na Telegramie. Zdaniem Cisco Talos, Greatness rozpoczął działalność w połowie 2022 roku.
Ataki z użyciem Greatnessa najczęściej celują w firmy z USA
Greatness był szczególnie popularny w grudniu 2022 roku i marcu 2023 roku. Chociaż każda kampania miała nieco inną lokalizację, zbiorczo ponad 50 proc. wszystkich celów miało siedzibę w USA. Kolejne najczęściej atakowane regiony to Wielka Brytania, Australia, RPA i Kanada.
Greatness został zaprojektowany w celu kompromitowania użytkowników Microsoft 365 i może sprawić, że strony phishingowe będą szczególnie przekonujące i skuteczne we wsparciu ataków na firmy. W oparciu o dane uzyskane przez Cisco Talos, udało się ustalić, że cyberprzestępcy wykorzystujący Greatness celują niemal wyłącznie w przedsiębiorstwa. Analiza organizacji będących celem ataków w kilku kampaniach pokazuje, że najczęściej atakowanym sektorem była produkcja, a następnie opieka zdrowotna, technologia i nieruchomości.
Przebieg ataku
Ofiara otrzymuje złośliwy e-mail, który zazwyczaj zawiera plik HTML jako załącznik. Gdy ofiara otworzy plik HTML, przeglądarka internetowa wykonuje krótki fragment zamaskowanego kodu JavaScript, który nawiązuje połączenie z serwerem atakującego w celu uzyskania kodu HTML strony phishingowej i wyświetlenia go użytkownikowi w tym samym oknie przeglądarki. Kod ten zawiera zamazany obraz, który przedstawia wirujące koło, udając, że ładuje dokument.
Następnie strona przekierowuje ofiarę na stronę logowania Microsoft 365, zwykle wstępnie wypełnioną adresem e-mail ofiary oraz tłem i logo używanym przez jej firmę. Gdy ofiara podaje swoje hasło, PaaS łączy się z Microsoft 365, podszywa się pod ofiarę i podejmuje próbę logowania. Jeśli używane jest MFA, usługa wyświetli ofierze monit o uwierzytelnienie przy użyciu metody MFA wymaganej przez prawdziwą stronę Microsoft 365 (np. kod SMS, kod połączenia głosowego, powiadomienie push).
Gdy usługa otrzyma autoryzację, będzie nadal podszywać się pod ofiarę za kulisami i dokończy proces logowania, aby zebrać uwierzytelnione pliki cookie sesji. Następnie zostaną one dostarczone do partnera usługi na jego kanale Telegram lub bezpośrednio przez panel internetowy.