研究人员周三警告说,一种新的网络钓鱼即服务(PaaS,Phishing-as-a-service)工具允许菜鸟黑客将“一些最先进的”功能整合到他们的网络攻击中。
与其他犯罪服务类似,PaaS平台降低了网络犯罪的进入门槛,为不熟练的黑客提供了自动化任务的能力,以欺骗受害者在虚假的登录页面上输入他们的凭证。
思科Talos威胁情报团队的报告称,这项新服务被称为“Greatness”,首次出现于2022年年中——根据VirusTotal上可用的附件样本数量,活动高峰出现在2022年12月和2023年3月。
它“几乎专门”被用于针对公司,而不是政府组织,例如,通过模仿他们的Microsoft 365登录页面,表明该服务的用户攻击目标的网络是为了经济利益,而不是间谍目的。
微软的“Microsoft 365”基于云的生产力平台被全球许多企业使用,使其成为网络犯罪分子的重要目标,他们试图窃取数据或凭据以用于网络破坏。
根据思科对钓鱼网站域名的分析,制造业、医疗保健和技术行业的企业是最常见的目标,美国占受害者的50%以上,其次分别是英国、澳大利亚、南非和加拿大的公司。
该服务为其附属机构提供从附件和链接生成器到“极具说服力的诱饵和登录页面”的所有内容,其中受害者的电子邮件地址已经预先填写,公司的标志和背景图片已经从该组织的真实微软365登录页面中提取。
思科表示,其功能还包括多因素认证(MFA)绕过,IP过滤,以及与Telegram机器人的整合。Telegram机器人被用来在cookie超时之前,一旦服务盗取了认证的会话cookie,就立即通知附属机构。
“Greatness”钓鱼攻击流程
1、网络犯罪分子要发起攻击,服务的用户使用他们的API密钥访问“Greatness”管理面板,并提供目标电子邮件地址列表。
2、PhaaS平台会分配必要的基础设施,例如将托管网络钓鱼页面的服务器,以及用于生成HTML附件的服务器。
3、附属机构(网络犯罪分子)在后台管理面板制作电子邮件内容,并提供任何其他材料或根据需要更改默认设置。
4、该服务会向受害者发送电子邮件,受害者会收到一封带有HTML附件的网络钓鱼电子邮件。当这个附件被打开时,浏览器中会执行一个混淆的JavaScript代码,以连接“Greatness”服务器以获取将显示给用户的网络钓鱼页面。
5、网络钓鱼服务会自动从雇主的实际Microsoft 365登录页面中注入目标公司的标志和背景图片。
6、受害者只需在令人信服的网络钓鱼页面上输入密码,因为“Greatness”会预先填写正确的电子邮件以让受害者感觉在访问真实的Microsoft 365网站。
7、此时,网络钓鱼平台“Greatness”充当受害者浏览器和实际Microsoft 365登录页面之间的代理,处理身份认证流程以获得目标帐户的有效会话cookie。
8、如果该帐户受双因素身份验证的保护,“Greatness”会提示受害者提供它,同时触发对真正的Microsoft服务的请求,因此一次性代码会发送到目标设备。