Ngày 13 tháng 5 năm 2023Ravie Lakshmanan
Nền tảng phishing-as-a-service (PhaaS hoặc PaaS) mới có tên sự vĩ đại đã bị tội phạm mạng lợi dụng để nhắm mục tiêu người dùng doanh nghiệp của dịch vụ đám mây Microsoft 365 kể từ ít nhất là giữa năm 2022, giúp hạ thấp khả năng xâm nhập của các cuộc tấn công lừa đảo một cách hiệu quả.
“Hiện tại, Greatness chỉ tập trung vào các trang lừa đảo Microsoft 365, cung cấp cho các chi nhánh của nó một tệp đính kèm và trình tạo liên kết để tạo ra các trang đăng nhập và mồi nhử có sức thuyết phục cao”, nhà nghiên cứu Tiago Pereira của Cisco Talos cho biết.
“Nó chứa các tính năng như điền sẵn địa chỉ email của nạn nhân và hiển thị logo và hình nền công ty phù hợp của họ, được trích xuất từ trang đăng nhập Microsoft 365 thực của tổ chức mục tiêu.”
Các chiến dịch liên quan đến Greatness chủ yếu có các tổ chức sản xuất, chăm sóc sức khỏe và công nghệ ở Hoa Kỳ, Vương quốc Anh, Úc, Nam Phi và Canada, với hoạt động tăng đột biến được phát hiện vào tháng 12 năm 2022 và tháng 3 năm 2023.
Bộ công cụ lừa đảo như Greatness cung cấp cho các tác nhân đe dọa, tân binh hoặc cách khác, một cửa hàng một cửa hiệu quả về chi phí và có thể mở rộng, giúp thiết kế các trang đăng nhập thuyết phục được liên kết với các dịch vụ trực tuyến khác nhau và bỏ qua các biện pháp bảo vệ xác thực hai yếu tố (2FA).
Cụ thể, các trang mồi nhử trông giống thật hoạt động như một proxy ngược để thu thập thông tin xác thực và mật khẩu dùng một lần dựa trên thời gian (TOTP) do nạn nhân nhập vào.
Chuỗi tấn công bắt đầu bằng các email độc hại có chứa tệp đính kèm HTML, khi mở ra, tệp này sẽ thực thi mã JavaScript bị xáo trộn để chuyển hướng người dùng đến trang đích có địa chỉ email của người nhận đã được điền sẵn và nhắc nhập mật khẩu và mã MFA của họ.
Thông tin đăng nhập và mã thông báo đã nhập sau đó được chuyển tiếp đến kênh Telegram của đơn vị liên kết để có được quyền truy cập trái phép vào các tài khoản được đề cập.
Bộ công cụ lừa đảo AiTM cũng đi kèm với một bảng quản trị cho phép đơn vị liên kết định cấu hình bot Telegram, theo dõi thông tin bị đánh cắp và thậm chí xây dựng các tệp đính kèm hoặc liên kết bẫy bẫy.
Hơn nữa, mỗi đơn vị liên kết phải có khóa API hợp lệ để có thể tải trang lừa đảo. Khóa API cũng ngăn các địa chỉ IP không mong muốn xem trang lừa đảo và tạo điều kiện giao tiếp bí mật với trang đăng nhập Microsoft 365 thực tế bằng cách giả làm nạn nhân.
Pereira cho biết: “Làm việc cùng nhau, bộ công cụ lừa đảo và API thực hiện một cuộc tấn công ‘man-in-the-middle', yêu cầu thông tin từ nạn nhân mà sau đó API sẽ gửi đến trang đăng nhập hợp pháp trong thời gian thực”.
“Điều này cho phép chi nhánh PaaS đánh cắp tên người dùng và mật khẩu, cùng với cookie phiên xác thực nếu nạn nhân sử dụng MFA.”
Phát hiện này được đưa ra khi Microsoft bắt đầu thực thi khớp số trong thông báo đẩy của Microsoft Authenticator kể từ ngày 8 tháng 5 năm 2023, để cải thiện khả năng bảo vệ 2FA và chống lại các cuộc tấn công đánh bom nhanh chóng.
